簡介
愛情後門病毒警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件
運行環境:WINDOWS 95/98/ME/NT/2000/XP
感染對象:硬碟資料夾
病毒介紹:
一個集蠕蟲後門黑客於一身的病毒。當病毒運行時,將自己複製到windows目錄下,檔案名稱為:WinRpcsrv.exe並註冊成系統服務。然後把自己分別複製到system目錄下,檔案名稱為syshelp.exe,wingate.exe並在註冊表run項中加入自身鍵值。病毒利用ntdll提供的api找到LSASS進程,並對其殖入遠程後門代碼。(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command.com,NT,WIN2K,WINXP為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=rpcsrv.exe。並進入傳播流程。
病毒傳播途徑
該病毒通過病毒郵件進行傳播,一旦感染計算機後,就會建立一個“後門”,並與外界的操縱者取得聯繫,使得被感染機器處於外界的遠程控制之中。外界操縱者可以輕易地向本機傳送盜竊程式,獲得該計算機的密碼等資料。對於區域網路用戶來說,病毒通過一台被感染的計算機迅速傳播到整個區域網路,最終導致所有計算機用戶被外界操縱者控制、網路癱瘓、信息泄露等嚴重後果。如果外界操縱者帶有商業或政治等目的,那么使用這個病毒,將使政府機關和各商業機構的信息系統完全被控制、全部泄漏。 從上述分析中我們可以看出,這個病毒對企事業單位的區域網路用戶危害性極大。瑞星反病毒工程師提醒大家,普通的單機版防毒軟體很難徹底查殺區域網路內的病毒,特別是對“愛情後門”病毒群來說,最好使用網路版防毒軟體,才能充分保證區域網路不被攻擊。
病毒功能
1. 釋放出5個病毒體,修改註冊表自啟動
愛情後門病毒病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒體分別感染系統,並修改相應的註冊表和啟動檔案(win.ini)進行自啟動。
2. 密碼試探攻擊,盜用密碼
病毒會利用ipc$命名管道進行guest和Administrator賬號的簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務,同時放出一個名為win32vxd.dll的盜密碼檔案,以盜取用戶密碼。
3. 建立和釋放後門,威脅計算機安全
病毒會建立一個後門,等待外界用戶連入,然後從病毒體內放出一個dll後門程式負責建立遠程shell後門。
4. 瘋狂區域網路傳播
病毒不停地搜尋網路資源,導致整個區域網路資源被占用,如果發現有已分享資料夾,則將自身複製過去,病毒檔案名稱有以下幾種可能:
| humor.exe | fun.exe | docs.exe | s3msong.exe |
| midsong.exe | billgt.exe | Card.EXE | SETUP.EXE |
| searchURL.exe | tamagotxi.exe | hamster.exe | news_doc.exe |
| PsPGame.exe | joke.exe | images.exe | pics.exe |
5. 搜尋郵件目錄,不斷發送病毒郵件。
病毒會啟動一個執行緒,通過註冊表SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders的表項得到系統目錄,然後搜尋*.ht*中的email地址,找到後,病毒就利用MAPI功能,向外不斷發送病毒郵件,郵件標題隨機從以下字元串中選出:
| Cracks! | The patch |
| Last Update | Test this ROM! IT ROCKS! |
| Adult content!!! Use with parental advi | Check our list and mail your requests! |
| I think all will work fine. | Send reply if you want to be official b |
| Test it 30 days for free. |
6. 病毒會每隔1小時通知病毒作者。
病毒運行後,會每隔1小時傳送一次通知郵件到163.com的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的ip地址,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
病毒變種介紹——愛情後門II
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件
運行環境: WINDOWS 95/98/ME/NT/2000/XP
感染對象:硬碟資料夾
病毒介紹:
當病毒運行時,將自己複製到windows目錄下自己分別複製到system目錄下,檔案名稱為
| WinGate.exe | WinDriver.exe | Iexplore.exe | RavMond.exe | Winrpc.exe | winhelp.exe |
並在註冊表run項中加入自身鍵值。病毒利用ntdll提供的api找到LSASS進程,並對其殖入遠程後門代碼。
(該代碼,將回響用戶tcp請求建方一個遠程shell進程。win9x為command.com,NT,WIN2K,WINXP
為cmd.exe)之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=RAVMOND.EXE。
並進入傳播流程。
病毒的幾個功能:
1.密碼試探攻擊:
病毒利用ipc進行guest和Administrator賬號的多個簡單密碼試探。(使用如12345678,abcdef,888888)
如果成功病毒將嘗試將自己複製到遠程系統並試圖註冊成服務。
2.放出後門程式:
病毒從自身體內放出一個dll檔案負責建立遠程shell後門。(連線埠1092)
病毒本身將自己注入到lsass進程中,並建立20168連線埠的shell後門
3.盜用密碼:
盜取用戶密碼,並傳送到指個信箱
4.區域網路傳播:
病毒窮舉網路資源,並將自己複製過去。檔案名稱為隨機的選取,病毒體內的檔案名稱有以下幾種可能:
| the hardcore game-.pif | Shakira.zip.exe |
| dreamweaver MX (crack).exe | StarWars2 - CloneAttack.rm.scr |
| DSL Modem Uncapper.rar.exe | joke.pif |
| I am For u.doc.exe | s3msong.MP3.pif |
| …… |
5.郵件地址搜尋執行緒
病毒啟動一個執行緒通過註冊表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系統目錄
並搜尋*.ht*中的email地址。用以進行郵件傳播。
6.發郵件
病毒利用mapi及搜出的email地址,進行郵件傳播。
郵件標題隨機從病毒體內選出
| Hi Dear | Great |
| Last Update | Patrick Ewing will give Knick fans something to cheer about |
| Adult content!!! | Use with parental advisory |
| Friday night | …… |
7.郵件通知病毒作者
當病毒被運行後每一段間隔傳送一次通知郵件給
位於163.com的一個信箱。郵件的標題是xyz123xyz123
內容為中毒系統的ip地址,以便利用病毒的後門
進行控制。
解決方案:
1、安裝有瑞星防毒軟體的用戶請升級到最新版本,15.27.01以後版本都可查殺該病毒;
2、另外瑞星為廣大朋友提供免費的專殺工具,下載地址是: http://it.rising.com.cn/service/technology/RS_LovGate_download.htm
病毒變種介紹——愛情後門變種T(Worm.LovGate.T)
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:區域網路/郵件/後門/系統檔案
依賴系統:WINDOWS 9X/NT/2000/XP
病毒介紹:
2003年11月17日,瑞星全球反病毒監測網在全球率先截獲“愛情後門”病毒的最新變種—“愛情後門變種T(Worm.LovGate.T)”,該病毒除了具有蠕蟲、黑客、後門等病毒特性外,還增加了感染系統檔案、盜竊密碼兩大全
愛情後門病毒“愛情後門變種T”病毒會搜尋系統中的所有執行檔,在尾部加入一個遠程竊取信息的病毒模組,只要被感染的檔案運行,就會激活該病毒模組,然後搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中,通過網路泄露出去。
病毒運行時還會將自己複製到系統目錄下,通過修改註冊表和WIN.INI檔案兩種方式進行自啟動,大大增強了病毒運行的可能性,病毒被激活時會通過猜密碼的方式來破譯區域網路計算機的管理員密碼,取得最高許可權,成功後便能控制該計算機,如果不能成功,病毒還會將自己拷貝到區域網路計算機的已分享資料夾下,來誘使區域網路中的其它計算機用戶運行該病毒。
病毒運行時還會給系統開後門,並且每隔一小時就會向病毒作者傳送一封記錄被感染計算機IP信息的信件,使病毒作者能控制用戶計算機。該病毒還會搜尋用戶的E-MAIL地址,然後通過傳送大量病毒郵件來進行網路傳播,並極有可能會阻塞網路。
病毒的特性、發現與清除:
1. 感染系統中的所有執行檔,在這些檔案尾部加入一個通過遠程竊取信息的模組,該病毒模組的作用是搜尋包含如下字眼的視窗:“登錄”、“註冊”、“密碼”、“口令”、“賬號”、“pass”,偷盜這些視窗中的密碼信息,並存於syszsl.dll檔案之中。
2. 病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒, 用戶可以在計算機中查找該病毒檔案,找到後刪除。
3. 當用戶系統為9X系統時,病毒會修改啟動檔案win.ini,在其中加入run=rpcsrv.exe項, 用戶可以用記事本程式將該檔案打開,將這一病毒項刪除。
4. 病毒會利用遠程連線指令對區域網路中的有guest和Administrator賬號的計算機進行簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務來感染對方計算機,同時放出一個名為win32vxd.dll的盜密碼檔案,以盜取用戶密碼。。
5. 病毒不停地搜尋網路資源,導致整個區域網路資源被占用,如果發現有已分享資料夾,則將自身複製過去,病毒檔案名稱有以下幾種可能:
| humor.exe | fun.exe | docs.exe | s3msong.exe |
| midsong.exe | billgt.exe | Card.EXE | SETUP.EXE |
| searchURL.exe | tamagotxi.exe | hamster.exe | ews_doc.exe |
| PsPGame.exe | joke.exe | images.exe | pics.exe |
區域網路的用戶如果在已分享資料夾中發現有這些檔案,請直接刪除。
6. 病毒會使用10168連線埠在系統中建立一個後門,等待外界用戶連入,對用戶計算機進行遠程控制。
7. 病毒運行時會通過註冊表來搜尋電腦中的email地址,然後向這些地址傳送大量的帶毒郵件來阻塞網路。
郵件標題隨機從以下字元串中選出:
| Cracks! | The patch |
| Last Update | Test this ROM! IT ROCKS! |
| Adult content!!! Use with parental advi | Check our list and mail your requests! |
| I think all will work fine. | Send reply if you want to be official b |
| Test it 30 days for free. |
當用戶發現有這樣標題的信件時,不要隨便觀看這些郵件,最好直接將這些郵件刪除,以防止病毒運行。
8. 病毒運行後,會每隔1小時傳送一次通知郵件到病毒作者的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的IP位址信息,當病毒作者收到病毒通知信件後,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“愛情後門變種T(Worm.LovGate.T)”病毒,為避免用戶遭受損失,瑞星公司已於截獲該病毒當天就進行了升級,瑞星防毒軟體2004版、瑞星線上防毒、瑞星防毒軟體2004“下載版”,這三款產品每周三次同步升級,16.01版已可清除此病毒。
對於手中沒有防毒軟體的用戶,可以根據以上提示進行手工清除,也可以使用瑞星線上防毒產品進行防毒,用戶只要登入網址:http://online.rising.com.cn,即可清除該病毒。除此之外,用戶還可以到http://it.rising.com.cn/service/technology/RS_LovGate_download.htm網址來下載免費的病毒專殺工具清除該病毒。
瑞星反病毒專家的安全建議:
1. 建立良好的安全習慣。例如:對一些來歷不明的郵件及附屬檔案不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經防毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
2. 關閉或刪除系統中不需要的服務。默認情況下,許多作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 經常升級安全補丁。據統計,有80%的網路病毒是通過系統安全漏洞進行傳播的,象紅色代碼、尼姆達等病毒,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4. 使用複雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
5. 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞:如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7. 最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報, 這樣才能真正保障計算機的安全。
病毒變種介紹——愛情後門變種V(Worm.LovGate.v)
該病毒是蠕蟲病毒“愛情後門”的新變種,是一個集蠕蟲、後門一身的病毒,採用VC 編寫,多層壓縮。
發現日期:3月11日
一、病毒評估
病毒中文名:愛情後門變種V
病毒英文名:Worm.LovGate.v.
病毒大小:124,928 位元組
病毒類型:蠕蟲病毒
病毒危險等級:★★★★
病毒傳播途徑:網路/郵件
病毒依賴系統:WINDOWS9X/NT/2000/XP
二、病毒的破壞
1.釋放後門病毒
病毒將在系統中殖入遠程後門代碼,該代碼,將回響遠程惡意用戶tcp請求建方一個遠程shell進程。(win9x為command.com,NT,WIN2K,WINXP為cmd.exe),可以對本地機器進行完全控制。
2. 釋放通過QQ傳播的病毒:“Worm.LovGate.v.QQ”
該病毒通過傳送誘惑信息導致用戶上當,從而中毒,詳情請參考該病毒報告。
三、病毒報告
該病毒是蠕蟲病毒"愛情後門"的新變種,是一個集蠕蟲、後門一身的病毒,採用VC 編寫,多層壓縮。
一旦運行,病毒將執行以下操作:
1.自我複製到系統目錄,相關檔案名稱為:
| %SYSDIR%\IEXPLORE.EXE | %SYSDIR%\kernel66.dll |
| %SYSDIR%\RAVMOND.exe | %SYSDIR%\SysBoot.EXE |
| %SYSDIR%\WinDriver.exe | %SYSDIR%\winexe.exe |
| %SYSDIR%\WinGate.exe | %SYSDIR%\WinHelp.exe |
同時也在每一個硬碟和可移動驅動器根目錄下複製自己:
%DRIVER%\SysBoot.exe
2.病毒將釋放一個DLL檔案,此檔案將在系統中殖入遠程後門代碼,相關檔案名稱為:
%SYSDIR%\reg678.dll
%SYSDIR%\Task688.dll
該代碼,將回響遠程惡意用戶tcp請求建方一個遠程shell進程。(win9x為command.com,NT,WIN2K,WINXP為cmd.exe),可以對本地機器進行完全控制。
3.病毒將釋放一個利用QQ傳送訊息傳播的病毒:“Worm.LovGate.v.QQ”,相關檔案名稱目錄為:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
詳細報告請查閱該病毒報告。
4.病毒將修改註冊表的如下鍵值:
| HKEY_CLASSES_ROOT\exefile\shell\open\command (默認) : %SYSDIR%\WINEXE.EXE "%1" %* |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "WinGate initialize" = "%SYSDIR%\WINGATE.EXE -REMOTESHELL" |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "WinHelp" = "%SYSDIR%\WINHELP.EXE" |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG" |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Program In Windows" = "%SYSDIR%\IEXPLORE.EXE" |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices "SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL" |
在win9x下還修改系統檔案:
WIN.INI
[WINDOWS]
"RUN" = "RAVMOND.EXE"
在win2k、NT、XP下註冊服務:
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg Display Name = "ll_reg " IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER" |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension Display Name = "Windows Management Instrumentation Driver Extension" IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER" |
病毒也將在每一個硬碟和可移動盤的根目錄下建立一個檔案:AUTORUN.INF的檔案,內容為:
[AUTORUN]
Open="%DRIVER%:\SysBoot.EXE" /StartExplorer
其中%DRIVER%為相應的驅動器。
這樣在用戶打開該驅動器後將運行病毒。
5.病毒的破壞功能
Windows弱口令密碼試探攻擊、放出後門程式、盜取密碼。
6.區域網路傳播
病毒窮舉網路資源,並將自己複製過去,檔案名稱為隨機的選取。
7.郵件傳播
病毒利用mapi及搜出的email地址,對收信箱裡的郵件進行回復(傳播)。
郵件標題隨機從病毒體內選出,當病毒被運行後每隔一定時間傳送一次通知郵件給位於163.com的一個信箱,郵件內容為中毒系統的ip地址,以便利用病毒的後門進行控制。
四、病毒解決方案:
1.進行升級
瑞星公司於2004年3月12日當天進行升級,升級後的軟體版本號為16.17.20,該版本的瑞星防毒軟體可以徹底查殺此病毒,瑞星防毒軟體標準版和網路版的用戶可以直接登入瑞星網站(http://www.rising.com.cn/)下載升級包進行升級,或者使用瑞星防毒軟體的“智慧型升級”功能。
2.使用專殺工具
鑒於該病毒的危害性比較嚴重,瑞星公司還為手中暫時沒有防毒軟體的用戶提供了免費的病毒專殺工具,用戶可以到:http://it.rising.com.cn/service/technology/tool.htm網址進行免費下載,並進行該病毒的清除。
3.使用線上防毒和下載版
用戶還可以使用瑞星公司的線上防毒與下載版產品清除該病毒,這兩款產品有多種支付途徑,用戶可以登入網址:http://online.rising.com.cn/來使用線上防毒產品,或者登入網址: http://go.rising.com.cn/來使用下載版產品。
4.打電話求救
如果遇到關於該病毒的其它問題,用戶可以隨時撥打瑞星反病毒急救電話:010-82678800來尋求反病毒專家的幫助!
5.手動清除
該病毒手工清除比較困難,建議使用防毒軟體或專殺工具。
五、安全建議:
1.建立良好的安全習慣。例如:不要輕易打開一些來歷不明的郵件及附屬檔案,不要上一些不太了解的網站,不要運行從網際網路上下載的未經防毒處理的軟體等,這些必要的習慣會使您的計算機更加安全。
2.關閉或刪除系統中不需要的服務。默認情況下,作業系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
3.經常升級安全補丁。據統計,大部分網路病毒都是通過系統安全漏洞進行傳播的,象衝擊波、大無極、SCO炸彈、網路天空等。漏洞的存在,會造成防毒殺不乾淨的狀況,所以應該定期到微軟網站去下載最新的安全補丁,堵住系統的漏洞。
4.使用複雜的密碼。有許多網路病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數,減少被病毒攻擊的機率。
5.迅速隔離受感染的計算機。當計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果能了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7.最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用防毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控打開(如郵件監控)、遇到問題要及時上報,這樣才能真正保障計算機的安全。
病毒專殺工具介紹
愛情後門病毒專殺工具 v3.5
愛情後門專殺授權方式:免費版
軟體類別:病毒防治
軟體語言:簡體中文
運行環境:免費版
軟體更新:2006-03-21 06:44:03
相關連線:http://www.rising.com.cn/
愛情後門病毒專殺工具 v3.5介紹: 新版增加了新的Worm.lovgate病毒變種:Worm.lovgate.fa,Worm.lovgate.s 該病毒集蠕蟲、後門、黑客於一身,通過病毒郵件進行郵件傳播,通過建立後門給用戶的計算機建立一個泄密通道,通過放出後門程式與外界遠程木馬溝通,通過放出盜竊密碼程式主動盜竊計算機密碼,通過遠程瘋狂傳播區域網路,最終導致所有計算機用戶受到病毒控制,網路癱瘓、信息泄露等嚴重後果。
相關下載
瑞星愛情後門病毒專殺工具 http://it.rising.com.cn/service/technology/RS_LovGate_download.htm
愛情後門病毒專殺工具V3.5 http://www.pc106.com/xz/aqxg/bdfz/200701/2183.html
常見計算機病毒
| 隨著電腦的普及,幾乎所有的電腦用戶都已知道“計算機病毒”這一名詞。對於大多數計算機用戶來說,談到“計算機病毒”似乎覺得它深不可測,無法琢磨。那么比較常見的病毒有哪些呢? |
