网络编程 | 站长之家 | 网页制作 | 图形图象 | 操作系统 | 冲浪宝典 | 软件教学 | 网络办公 | 邮件系统 | 网络安全 | 认证考试 | 系统进程
Firefox | IE | Maxthon | 迅雷 | 电驴 | BitComet | FlashGet | QQ | QQ空间 | Vista | 输入法 | Ghost | Word | Excel | wps | Powerpoint
asp | .net | php | jsp | Sql | c# | Ajax | xml | Dreamweaver | FrontPages | Javascript | css | photoshop | fireworks | Flash | Cad | Discuz!
当前位置 > 网站建设学院 > 网络安全 > 病毒数据库
Tag:卡巴斯基,NOD32,诺顿,金山毒霸,瑞星,江民
本月文章推荐
.Macro.Word97.Pri.s.
.Macro.Word.Nomej.b.
.Win32.Hack.Huigezi.bv.
.Macro.Word97.WorldCup98.
.Win32.Troj.IstSvc.a.
.Worm.Yanzi.b.
.DOS.vcl.
.Trojan.Regap.
.2009年全球计算机病毒将超过100万.
.Symbian.Skulls.C.
.Win32.Troj.Exterminator.
.DOS.Agiplan.
.Win32.Troj.mimauuc.
.Macro.Word.Concept.al.
.DOS.Diamond.b.
.Macro.Word.Guerrilla.
.Worm.Mail.Bagle.az.
.Win32.Hack.Volkoser.
.Win32.Troj.GhostSpyZip.
.Win32.Troj.DnsTroj.12.

Worm.LovGate.v.enc

发表日期:2007-12-23

病毒名称:  Worm.LovGate.v.enc 类别: 蠕虫 病毒资料:      破坏方法:
    
    该病毒是蠕虫病毒"爱情后门"的新变种,是一个集蠕虫、后门一身的病毒,采用VC++编写,多层压缩。
    
    一旦运行,病毒将执行以下操作:
    
    1.自我复制到系统目录,相关文件名为:
    %SYSDIR%\IEXPLORE.EXE
    %SYSDIR%\kernel66.dll
    %SYSDIR%\RAVMOND.exe
    %SYSDIR%\SysBoot.EXE
    %SYSDIR%\WinDriver.exe
    %SYSDIR%\winexe.exe
    %SYSDIR%\WinGate.exe
    %SYSDIR%\WinHelp.exe
    
    同时也在每一个硬盘和可移动驱动器根目录下复制自己:
    %DRIVER%\SysBoot.exe
    
    2.病毒将释放一个DLL文件,此文件将在系统中殖入远程后门代码,相关文件名为:
    %SYSDIR%\reg678.dll
    %SYSDIR%\Task688.dll
    该代码,将响应远程恶意用户tcp请求建方一个远程shell进程。(win9x为command.com,
    NT,WIN2K,WINXP为cmd.exe),可以对本地机器进行完全控制。
    
    3.病毒将释放一个利用QQ发送消息传播的病毒:“Worm.LovGate.v.QQ”,相关文件名目录为:
    %SYSDIR%internet.exe
    %SYSDIR%svch0st.exe
    详细报告请查阅该病毒报告。
    
    4.病毒将修改注册表的如下键值<病毒自启动的伎俩>:
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    (默认) : %SYSDIR%\WINEXE.EXE "%1" %*
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    "WinGate initialize" = "%SYSDIR%\WINGATE.EXE -REMOTESHELL"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    "WinHelp" = "%SYSDIR%\WINHELP.EXE"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    "Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

    "Program In Windows" = "%SYSDIR%\IEXPLORE.EXE"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
    "SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"
    在win9x下还修改系统文件:
    WIN.INI
    [WINDOWS]
    "RUN" = "RAVMOND.EXE"
    在win2k、NT、XP下注册服务:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg
    Display Name = "ll_reg "
    IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    \Windows Management Instrumentation Driver Extension
    Display Name = "Windows Management Instrumentation Driver Extension"
    IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER"
    
    病毒也将在每一个硬盘和可移动盘的根目录下建立一个文件:AUTORUN.INF的文件,内容为:
    [AUTORUN]
    Open="%DRIVER%:\SysBoot.EXE" /StartExplorer
    
    其中%DRIVER%为相应的驱动器。
    这样在用户打开该驱动器后将运行病毒。
    
    5.病毒的破坏功能:
    Windows弱口令密码试探攻击、放出后门程序、盗取密码。
    
    6.局域网传播:
    病毒穷举网络资源,并将自己复制过去。文件名为随机的选取。
    
    7.邮件传播
    病毒利用mapi及搜出的email地址,对收信箱里的邮件进行回复传播)。
    邮件标题随机从病毒体内选出当病毒被运行后每隔一定时间发送一次通知邮件给位于63.com的一个信箱,邮件内容为中毒系统的ip地址,以便利用病毒的后门进行控制。
病毒的清除法:  使用光华反病毒软件,彻底删除。 病毒演示:   病毒FAQ:      Windows下的PE病毒。
发现日期:  2004-3-12
上一篇:Worm.Netsky.l.enc 人气:355
下一篇:Worm.Win32.Doomber.enc 人气:378
浏览全部病毒数据库的内容 Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐