概述
"愛之門"( W32.HLLW. Lovegate)的病毒已經開始在國際網際網路上開始迅速傳播,它可以把受到感染的計算機中所有檔案進行完全共享,並會制動通過被病毒感染的計算機進行傳播,這足以給全球的計算機用戶的信息安全帶來空前的威脅。
該病毒在2月20日出現,報告顯示目前在國內已經發現數十例用戶電腦被感染。據率先發現該病毒的交大銘泰信息安全中心的負責人表示,"愛之門"是一種蠕蟲病毒,感染長度為77,312位元組,主要通過Outlook電子郵件和檔案共享軟體進行傳播,速度相當快,可以感染Windows 9X, Windows Me Windows NT, Windows 2000, Windows XP系統。
運行
病毒運行時會複製自己到系統目錄%System%:檔案名稱隨機如下 WinRpcsrv.exe 、syshelp.exe 、winrpc.exe 、wingate.exe 、rpcsrv.exe,並自動搜尋本地檔案目錄,如果找到後綴名是.ht*的,就從這些檔案中找到郵件地址,並發感染的郵件病毒。
如果是Windows 95, 98, or ME系統,病毒會在win.Ini檔案的windows節中加上如下一行.run=rpcsrv.exe。病毒生成木馬檔案,並把木馬檔案複製到系統下。ily.dll ,task.dll ,reg.dll ,1.dll,並自動修改註冊表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵上,增加如下值syshelp、%system%\syshelp.exe WinGate initialize%system%\WinGate.exe -remoteshell、Module Call initializeRUNDLL32.EXE reg.dll ondll_reg,病毒還修改HKEY_CLASS_ROOT\txtfile\shell\open\command的預設鍵值為winrpc.exe %1搜尋網路已分享資料夾和子目錄,監聽10168連線埠,並提供個黑客一個帶口令的命令執行程式。
如果病毒感染的是Windows NT, 2000, or XP系統,病毒會複製到%System%\ssrv.exe檔案,並在HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install上添加鍵值。
在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows鍵上,增加如下值run rpcsrv.exe。啟動木馬作為Windows Management Extension服務。遍曆本地網路,試圖用123 ,321 123456 、654321 、guest 、administrator 、admin 、111111 、666666 、888888 、abc 、abcdef 、abcdefg 、12345678 、abc123這些密碼登入其他地計算機。
魔高一尺,道高一丈。交大銘泰信息安全中心負責人表示,廣大用戶不必過於緊張。只要電腦安裝了反病毒軟體《東方衛士2003》,打開病毒防火牆即可防止病毒修改註冊表的企圖,無需升級就可以防住該病毒的威脅。如果要徹底查殺該病毒,可以登入www.i110.com網站下載專殺工具對其進行完全清除。
