嘉定都市网

标题: 总算被我发现了,“爱之门”病毒(WORM.LOVGATE)的传播途径 [打印本页]
作者: johnlee    时间: 2003-6-11 11:36
标题: 总算被我发现了,“爱之门”病毒(WORM.LOVGATE)的传播途径
“爱之门”病毒的传播途径很多,和其他病毒一样,可以通过邮件、软件加载等方式传播。
但和其他病毒不同的是,这个病毒非常容易再次感染,而且几率非常高
我发现,机器即使没有不开新的进程,它也会感染,按道理来讲,不运行新的进程,它应该是没有感染的可能的。我没有运行过新的进程,那肯定是“别人”运行的,但我的IP记录器却没有发现过可疑连接记录,这到底怎么回事呢??
昨天我无意中发现,在收到“微软信使服务”后,注册表中突然多出了“爱之门”的内容,我立即将其删除。巧的是,过了1个小时,我又收到了“信使服务”,而这次同样又修改了我的注册表和启动。我马上再次删除它,并将SYSTEM32下的病毒文件清除。

通过这次“巧遇”,我知道了,“微软信使服务”正是“爱之门”传播、击活的重要途径。

各位如果希望安全些的话,还是将其关闭吧,虽然不能其他途径传播,但至少可以避免后院起火吧。
作者: 珍爱曦曦    时间: 2003-6-11 15:39
谢谢提醒  不过我早关的说!
作者: puppy525    时间: 2003-6-11 16:04
微软信使服务 是什么?
作者: 『伤感涂鸦』    时间: 2003-6-11 16:21
原文由 puppy525 发表
什么操作系统?
作者: 雨後的天空    时间: 2003-6-11 18:40
原文由 johnlee 发表

这个病毒似乎有个原始文件隐藏在系统中,前几天我去朋友家修电脑,他中的就是这个,用瑞星查杀完后,依然会间隔一段后出现警告,outlook正在试图发送XXX邮件,而且会自动间隔生成一个server的程序,这个程序可以被自动查杀,可是那个制造server的源程序,瑞星就无能为力了,我没注意系统进程,不过查杀过一个伪装程序ken***32.dll
作者: johnlee    时间: 2003-6-11 19:28
原文由 雨後的天空 发表
这个源文件我也一直在找,由于它的名字起的非常好,所以很难发现。
不过这个源文件肯定不是DLL文件,因为DLL文件,因为DLL文件肯定每次都会运行,而这个病毒却不是每次都有。
而且这个源文件很可能是靠“信使服务”来击活的。
作者: 『可爱男孩』    时间: 2003-6-11 19:49
最近这个病毒好像盛行嘛,我也中标了,隐藏在rar里面。。。。。后来。。。我很懒的,c盘格式化n次以后都没有成效,干脆,关机,断电,若干分钟后光盘启动,dm伺候。。。。。。整个世界清静了。。。可惜了我n(n>6)G的A片
作者: 『伤感涂鸦』    时间: 2003-6-12 00:23
对ME以前的系统好象没用 只能在2000以上的版本中发作!
作者: 『可爱男孩』    时间: 2003-6-12 06:52
原文由 『伤感涂鸦』 发表
你这话矛盾的,me是在2000之后才发行的 你应该说对9x内核的系统没用,只在nt内核系统内发作?
说说而已,并不代表我同意你的观点,因为n久没用过9x系统了,所以是否在9x下会发作不太清楚
作者: johnlee    时间: 2003-6-12 09:26
原文由 『伤感涂鸦』 发表
不懂就不要乱判断哦,会误导别人的哟
LOVGATE对WIN98的侵入性更强,更难杀除,毕竟WIN98只是个人操作系统
作者: 『伤感涂鸦』    时间: 2003-6-12 14:46
原文由 johnlee 发表
不行你自己去试试好了!
可能我的意思没表达清楚 。。。信不信是你们的事   !
       



W32.HLLW.Lovgate.G@mm   
发现时间: 2003.03.24
上次更新时间: 2003.04.29

  
  

   


W32.HLLW.Lovgate.G@mm 是 W32.HLLW.Lovgate.C@mm 的变种。 此蠕虫包含大量群发郵件攻击和后门程序功能。此变种在 Windows 95/98/Me 下不能正常工作。

为了将自己传播,此蠕虫会试图回应收到的邮件和发送邮件给它在 HTML 文件中找到的邮件地址。发出的邮件会从事先定义好的清单中选取邮件主题和附件内容。附件的扩展名会是 .exe,.pif, 或 .scr。

W32.HLLW.Lovgate.G@mm 还会尝试将自己复制到所中本地网络的计算机从而将其感染。

注意: 2003 年 3 月 24 日以前的病毒定义会将此威胁确认为 W32.HLLW.Lovgate.C@mm。赛门铁克安全响应已经推出了针对 W32.HLLW.Lovgate.G@mm 的杀毒工具。



也称为: WORM_LOVGATE.F [Trend], WORM_LOVGATE.G [Trend], W32/Lovgate.f@M [McAfee], W32/Lovgate.g@M [McAfee], W32/Lovgate-E [Sophos], I-Worm.LovGate.f [KAV], Win32/Lovgate.F.Worm [CA]
类型: Worm
感染长度: 107,008 bytes
受影响的系统: Windows NT, Windows 2000, Windows XP
未受影响的系统: Windows 3.x, Macintosh, OS/2, UNIX, Linux


病毒定义 (Intelligent Updater)*
2003.03.25


病毒定义 (LiveUpdate™) **
2003.03.25


*
Intelligent Updater 病毒定义会每天发布一次,并需要手动下载和安装。
单击这里以进行手动下载。

**
LiveUpdate 病毒定义通常会在每周三发布。
单击这里,可获得使用 LiveUpdate 的说明








广度:

感染数量: 50 - 999
站点数量: 大于 10
地理分布: 中度
威胁遏制: 容易
消除威胁能力: 困难
威胁度量

         
广度:
中度
损坏程度:
中度
分发:
高度




损坏程度

有效载荷:
大量电子邮件发送: Attempts to reply to incoming email messages and to the email addresses that it finds in HTML files
危及安全设置: Allows unauthorized access to the infected computer
分发

电子邮件主题: Chosen from a predetermined list
附件名称: Chosen from a predetermined list with a .exe, .pif, or .scr file extension
附件大小: 107,008 bytes
端口: TCP 1092, 20168, 6000
共享驱动器: Copies across shared drives


当 W32.HLLW.Lovgate.G@mm 运行时,会有以下活动:

1. 以下列之一为文件名将自身复制到 %System% 文件夹:
Ravmond.exe
WinGate.exe
WinDriver.exe
Winrpc.exe
Winhelp.exe
Iexplore.exe
Kernel66.dll
NetServices.exe

2. 将下列文件复制到 %System% 文件夹后运行它们:
Task688.dll
Ily688.dll
Reg678.dll
111.dll

注意:这些文件是 W32.HLLW.Lovgate.G@mm 的后门特洛伊木马程序部分。
3. 将下列值:

winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg
Program in Windows %system%\iexplore.exe

加入注册键:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

这样一来蠕虫会在每次重启 Windows 时运行。

4. 将下列值:

run RAVMOND.EXE

加入注册键:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

5. 将下面注册键的默认值:

HKEY_CLASS_ROOT\txtfile\shell\open\command

改为:

winrpc.exe %1

这样一来蠕虫会在你每次打开一个 .txt 文件时运行。

6. 将其本身以下列文件名复制到所有的网络共享文件夹及其子文件夹:
Are you looking for Love.doc.exe
autoexec.bat
The world of lovers.txt.exe
How To Hack Websites.exe
Panda Titanium Crack.zip.exe
Mafia Trainer!!!.exe
100 free essays school.pif
AN-YOU-SUCK-IT.txt.pif
Sex_For_You_Life.JPG.pif
CloneCD + crack.exe
Age of empires 2 crack.exe
MoviezChannelsInstaler.exe
Star Wars II Movie Full Downloader.exe
Winrar + crack.exe
SIMS FullDownloader.zip.exe
MSN Password Hacker and Stealer.exe

7. 监听 TCP 1092、10168 和 6000 埠上的通訊并用在163.com和 yahoo.com.cn 的电子邮件通知骇客。 此蠕虫有例行密码确认。 在鍵入正确密码后,蠕虫將为骇客打开命令解释程序。

8. 此蠕虫在 1092、10168 埠上有例行密码确认。 在鍵入正确密码后,蠕虫將为骇客打开命令解释程序。

9. 含有一个不完整的功能,似乎是 6000 埠上后门程序例程的开始。由于程序源代码中的一个错误,此例程可能不会被成功执行。该例程可能会创建纯文本文件 C:\Netlog.txt。

10. 试图从 HTML 中收集所有的电子邮件地址,并会试图回复所有 Microsoft Outlook 邮箱收到的邮件。请参见本文的“电子邮件例程详细信息”。

11. 在本地网络上扫描所有计算机,并使用下列密码来试图以 "administrator" (系统管理员)身份登录。
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123

12. 如果蠕虫成功登录到远端计算机,它会将自己复制为:

\\<remote computer name>\admin$\system32\netservices.exe

然后,它会以 "Microsoft NetWork Services FireWall" 服务的形式打开文件。

13. 创建服务 "Windows Management Instrumentation Driver Extension",其执行文件 %System32%\WinDriver.exe。

14. 创建服务 "NetMeeting Remote Desktop (RPC) Sharing",其执行命令为 "Rundll32.exe task688.dll ondll_server"。

15. 将自己注册为一项服务从而能在用户注销后依旧运行。

16. 将一个后门例程程序作为线程注入 Lsass.exe。该后门程序会在埠1092 监听通讯。

17. 将一个后门例程程序作为线程注入 Lsass.exe。该后门程序会在埠 20168 监听通讯。

18. 将一个“进程察看”程序作为线程注入 Explorer.exe 或 Taskmgr.exe。该远端线程会在蠕虫进程结束时调用 %System32%\Iexplore.exe。

19. 该蠕虫监视 Explorer.exe 或 Taskmgr.exe 中的远端线程,并在其终止时重新将其注入 Explorer.exe 或 Taskmgr.exe。蠕虫以此套路来保持自己总是处于激活状态。I

20. 以 "I-WORM-NEW-IPC-20168 Running" 为名创建一个互斥来确认蠕虫正在运行,该字符串也可能是 "I-WORM-NEW-IPC-20168"。

电子邮件例程详细信息
有两种电子邮件例程信息:

例程 1
寄出的信息会以下列内容组合:

主题:主题会是下列其中之一:
Reply to this!
Let's Laugh
Last Update
for you
Great
Help
Attached one Gift for u..
Hi Dear
See the attachement

邮件正文:邮件正文会是下列其中之一:
For further assistance, please contact!
Copy of your message, including all the headers is attached.
This is the last cumulative update.
Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
Send reply if you want to be official beta tester.
This message was created automatically by mail delivery software (Exim).
It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
Adult content!!! Use with parental advisory.
Patrick Ewing will give Knick fans something to cheer about Friday night.
Send me your comments...

附件:附件实际上是蠕虫自身的拷贝,附件名会是下列其中之一:
About_Me.txt.pif
driver.exe
Doom3 Preview!!!.exe
enjoy.exe
YOU_are_FAT!.TXT.pif
Source.exe
Interesting.exe
README.TXT.pif
images.pif
Pics.ZIP.scr

例程 2
寄出的信息会以下列内容组合:

主题:Re: <Original Subject>

邮件正文:
<someone> wrote:
===
> <original message body>
>
===
<original sender> auto-reply:

> Get your FREE <original sender hostname> now! <

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

附件:The attachment, which is a copy of the worm, will be one of the following:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe


撤消蠕虫对注册表所做的更改
警告: Symantec 强烈建议在更改注册表之前先进行备份。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的键。
a. 单击“开始”,然后单击“运行”。 将出现“运行”对话框。)
b. 键入
regedit

然后单击“确认”。(注册表编辑器打开。)

c. 浏览到注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

d. 在右窗格中,删除下列值:
winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll
Program in Windows %system%\iexplore.exe

e. 浏览到注册键:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

f. 在右窗格中,删除值:
run RAVMOND.EXE

g. 浏览到注册键:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

h. 在右窗格中,双击默认值。

i. 删除当前值,代之以适合你 Windows 版本的正确值。

注意:这个值可依 Windows 版本,并且在某些系统上依据安装路径不同而不同。 你需要到另外一台设置相同并工作正常的计算机察看后输入这个值。一般的情况是:
Windows 98: C:\Windows\Notepad.exe %
Windows NT and 2000: %SystemRoot%\system32\NOTEPAD.EXE %1

j. 退出注册表编辑器。




此贴由 『伤感涂鸦』 在 2003-06-12 14:51:19 最后编辑





看不懂别来找我!自己请有本事的人解决!
       

此贴由 『伤感涂鸦』 在 2003-06-12 14:53:06 最后编辑
作者: xuanren    时间: 2003-6-12 16:32
johnlee: 信使服务都可以传递病毒?开眼了。。。

你是不是可以发封信给病毒厂商试试?
作者: 『伤感涂鸦』    时间: 2003-6-12 16:35
原文由 xuanren 发表
的确跟信使服务有关!



欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1