扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:网络转载 2009年4月17日
关键字: hllw病毒 hllw病毒查杀 hllw病毒专杀 hllw病毒手动查杀
病毒描述:w32.HLLW.Lovgate.G蠕虫是w32.HLLW.Lovgate.c的一
个变种,它包含邮件群发功能和后门功能。这个病毒在
win95/98/xp下某些功能将无法正常使用。
传播机理:
该蠕虫传播有两种方式,通过电子邮件和局域网共享传
播。当机器被感染后将做如下操作:
1.将病毒自身拷贝到%system%(通常是winnt/system32)目录下,并改成以下这些文件名:
Ravmond.exe
WinGate.exe
WinDriver.exe
Winrpc.exe
Winhelp.exe
Iexplore.exe
Kernel66.dll
NetServices.exe
这些文件在win2000大小都是104k.。
2.拷贝木马文件到%system%目录下并执行它,木马的文件名可能是以下文件名中的一种或几种:
Task688.dll
Ily688.dll
Reg678.dll
111.dll
3.修改注册表键值,以便使蠕虫能在下次系统重起后自动运行:
在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加以下键值:
winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg
Program in Windows %system%\iexplore.exe
4.添加注册表键值:
在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
中添加run RAVMOND.EXE项。
5.修改系统文本文件打开程序的关联项,使得系统在今后每次
打开文本文件的时候都会被运行一遍,修改的键值为在
HKEY_CLASS_ROOT\txtfile\shell\open\command中添加了winrpc.exe %1
6.拷贝它自己到所有本地共享文件夹中,可能以下面的文件名:
Are you looking for Love.doc.exe
autoexec.bat
The world of lovers.txt.exe
How To Hack Websites.exe
Panda Titanium Crack.zip.exe
Mafia Trainer!!!.exe
100 free essays school.pif
AN-YOU-SUCK-IT.txt.pif
Sex_For_You_Life.JPG.pif
CloneCD + crack.exe
Age of empires 2 crack.exe
MoviezChannelsInstaler.exe
Star Wars II Movie Full Downloader.exe
Winrar + crack.exe
SIMS FullDownloader.zip.exe
MSN Password Hacker and Stealer.exe
7.监听系统的1092,6000,20168端口,并通过电子邮件将本地信息发往某些特定的地址。
8.运行一个需要密码验证的后门程序在1092端口,当入侵者输
入正确的口令后他将获得一个系统的shell。
9.运行一个无需任何验证的后门程序在20168端口。
10.运行一个功能并不完善的木马程序在6000端口,但是由于程
序上的bug,有的时候他不能正常运行,该后门程序会记录系统
在网络上通讯时所用的账号和密码,并将相关的信息以纯文本形
式记录在C:\Netlog.txt文件中。
11.从html文件中查找邮件地址并向该地址发送病毒副本,回复
outlook中所有收到的信件并将病毒副本作为附件在回复信件中
发出。发送的附件名称是由病毒程序从内定的列表里随机提出的
文件名,有三种格式 .exe .pif 和.scr,列表中的文件名包括:
I am For u.doc.exe
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
The hardcore game-.pif
信件发送的标题和内容也是从内置的表单中随即提取出来的,包括:
Subject: Reply to this!
Message Body: For further assistance, please contact!
Attachment: About_Me.txt.pif
Subject: Let's Laugh
Message Body: Copy of your message, including all the headers is attached.
Attachment: driver.exe
Subject: Last Update
Message Body: This is the last cumulative update.
Attachment: Doom3 Preview!!!.exe
Subject: for you
Message Body: Tiger Woods had two eagles Friday during his victory over Stephen Leaney.
(AP Photo/Denis Poroy)Attachment: enjoy.exe
Subject: Great
Message Body: Send reply if you want to be official beta tester.
Attachment: YOU_are_FAT!.TXT.pif
Subject: Help
Message Body: This message was created automatically by mail delivery software (Exim).
Attachment: Source.exe
Subject: Attached one Gift for u..
Message Body: It's the long-awaited film version of the Broadway hit.
Set in the roaring 20's, this is the story of Chicago
chorus girl Roxie Hart (Zellweger), who shoots her unfaithful
lover (West).Attachment: Interesting.exe
Subject: Hi
Message Body: Adult content!!! Use with parental advisory.
Attachment: README.TXT.pif
Subject: Hi Dear
Message Body: Patrick Ewing will give Knick fans something to cheer about Friday night.
Attachment: images.pif
Subject: See the attachement
Message Body: Send me your comments...
Attachment: Pics.ZIP.scr
12. 扫描局域网上所有的机器,并使用administrator用
户及从密码列表中所列出的密码对该机器的共享进行测试连接。密码列表包括:
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
另外病毒程序会先尝试使用空密码连接。
13.一旦病毒成功的与局域网上的机器建立起连接,它就会将自身拷贝过去:
\\\admin$\system32\netservices.exe
并将netservices.exe加载成系统服务,服务名叫作Microsoft
NetWork FireWall Services
14.创建名为"Windows Management Instrumentation Driver
Extension,"的服务并指向%System32%\WinDriver.exe程序。
15.创建名为"NetMeeting Remote Desktop (RPC) Sharing,"的
服务并指向"Rundll32.exe task688.dll ondll_server."
16.将自己设置为系统服务。
17.将木马程序以线程的方式注入到系统程序lsass.exe,监听在1092端口。
18.将木马程序以线程的方式注入到系统程序lsass.exe,监听在20168端口。
19.将一个监测程序以线程的方式注入到任意的Explorer.exe
或是Taskmgr.exe中,它是以远程线程方式注入的,用来监测病
毒程序的运行。一旦该监测程序停止,蠕虫程序会重新注入一个
线程到任意的Explorer.exe 或是Taskmgr.exe中。蠕虫监测程序
运行的目的是为了使系统的进程中始终有活着的蠕虫进程。
w32.HLLW.Lovgate.G蠕虫的危害:
多次复制自身,占用磁盘空间。
扫描局域网,影响网络带宽。
运行病毒线程,影响系统性能。
记录账号及密码,泄漏本地敏感信息。
预留后门程序,危及系统安全。
w32.HLLW.Lovgate.G蠕虫检测方法:
手动检测方法:察看系统目录system32下是否有大小为104k的相
关程序(参见传播机理1):
察看系统目录system32下是否有相应的动态连接库文件(参见传播机理2)
检查系统是否开放1092和20168端口。
察看注册表中是否有相关的键值(相关键值参照传播机理3,4,5)
察看系统服务中是否存在相关服务(请参照传播机理13,14,15)
清除方法:
第一步:使用升级了最新病毒库的杀毒软件对系统进行扫描,记
录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除)
第二步:查杀相关进程
1)打开Windows任务管理器如果是在Windows 95/98/me系统中,
按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统
中,按下CTRL+SHIFT+ESC即可然后单击“进程”。
2) 在列出的运行进程列表中,找到该病毒文件名或刚才记录下的文件名。
3) 选中这个文件,然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本.
4) 重复2)和3),杀死所有正在运行的的病毒进程, 包括所有的病毒文件和刚才纪录的文件。
5) 为了判断这个病毒进程是否已经被终止,关闭任务管理器,接着再打开它。
6) 关闭任务管理器。
第三步:删除相应的键值
从注册表中删除病毒的自动启动键值,防止当系统重起的时候这个病毒又开始执行。
1) 打开注册表编辑器。(为了打开它,请单击“开始”〉“运行”,输入
"REGEDIT",单击回车。)
2) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
3) 在右边的面板中,找到和删除下面的键值:
WinHelp = "C:\WINNT\System32\winHelp.exe"
WinGate initialize = "C:\WINNT\System32\WinGate.exe -remoteshell"
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE"
4) 在左边的面板中,双击下面的选项:
HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>
CurentVersion>Windows
5) 在右边的面板中,找到和删除下面的键值:
Run = 擱AVMOND.EXE?
第四步:定位和修改注册表Shell Spawning (用户向shell提出请求,shell解释并将请
求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning)
当一个用户运行一个.txt文件时,注册表的Shell Spawning
将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒
之前的设置 :
1) 仍然是进入注册表编辑器,在左边的面板中,双击下面的选项:
HKEY_CLASSES_ROOT>txtfile>shell>open>command ;
2) 在右边的面板中,找到下面的键值:
Default;
3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时,
选中它;
4) 如果这个数据是这个病毒的文件,右击Default,选择编辑,去
修改它的值;
5) 在这个数据的输入框中,删除它的值,然后再输入缺省值:
%SysDir%\NOTEPAD.EXE %1
6) 单击"OK";
7) 关闭注册表编辑器。
第五步:在系统文件中删除自动启动条目
必须在系统安全启动之前删除系统文件中的自启动条目
1) 打开WIN.INI
单击“开始”〉“运行”,输入"WIN.INI",按回车。
2) 在[Windows]部分下面,在以下的行中找到并删除该
病毒的文件名:
Run=%System%RAVMOND.exe
(注意:%System%为Windows系统文件夹,它的目录一般
为:C:\Windows\System 或C:\Windows\System32)
3) 关闭WIN.INI,当提示是否保存时,单击"Yes"。
*注意:如果你不能再内存中终止该病毒的进程,按照前面描述
的步骤,重起你的系统。
第六步:在Windows 2000/NT/XP中关闭该病毒服务
1) 重起你的系统,终止病毒的服务。接下来,在注册表中
删除它的服务;
2) 打开注册表编辑器;
3) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Windows Management Instrumentation
Driver Extension
4) 右击"Windows Management Instrumentation Driver
Extension"选择"Delete"。
5) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>NetMeeting Remote Desktop (RPC) Sharing
6) 右击NetMeeting Remote Desktop (RPC) Sharing",
选择"Delete"。
7) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Microsoft NetWork FireWall Services
8) 右击"Microsoft NetWork FireWall Services"
选择"Delete"。
9) 关闭注册表编辑器。
第七步:手动删除刚才记录下来的病毒文件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者