名稱
相關資料
病毒名稱:"愛之門"(Worm_Lovgate.AF)其他命名:W32.Lovgate.AC@mm (賽門鐵克)
W32/Lovgate.ai@MM (Kaspersky)
Worm.Lovgate.af.enc (瑞星)
WORM_LOVGATE.AG (趨勢)
病毒類型:蠕蟲
病毒長度:131,072 位元組
受影響的系統:Windows 95/98/Me/NT/2000/XP/2003
病毒特徵:
1、生成病毒檔案
病毒運行後,在系統中生成多個檔案,
%Windows%\CDPlay.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll(該檔案屬性為隱藏)
(其中,%Windows%通常為C:\Windows或C:\Winnt,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
2、修改註冊表
病毒對註冊表進行修改,使得在下次系統啟動時,病毒可隨之自動運行
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "RAVMOND.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices
"COM++ System" = "exploier.exe..."
"SystemTra" = "%windows%\CDPlay.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Winhelp" = "%system%\TkBellExe.exe..."
"Hardware Profile" = "%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Program In Windows = "C:\ %System%\IEXPLORE.EXE"
病毒修改註冊表項,使得txt檔案運行時病毒隨之運行
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "Update_OB.exe %1..."
3、過電子郵件進行傳播
病毒使用自身的SMTP引擎向外傳送帶毒電子郵件,進行傳播。病毒會從多種擴展名的檔案中蒐集郵件地址,並向這些地址傳送帶毒電子郵件。病毒同時會略去還有特定字元的郵件地址。
病毒傳送的郵件特徵如下
主題:(為下列之一)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
內容:(為下列之一)
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附屬檔案名稱:(為下列之一)
document
readme
doc
text
file
data
test
message
body
附屬檔案的擴展名:(為下列之一)
bat
cmd
exe
pif
scr
4、通過網路共享傳播
病毒將自身拷貝到網路中的已分享檔案夾,用以傳播
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
5、阻止安全軟體的運行
病毒試圖終止包含下列進程的運行,這些多為防毒軟體的進程。
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
Duba
KAV
