荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: wolfron (flyselina我爱你^O^), 信区: Virus
标  题: 爱之门 Worm_Lovgate.C
发信站: 荔园晨风BBS站 (Sat Apr  5 10:35:58 2003), 站内信件

文章来源: 国家计算机病毒应急处理中心
病毒名称:“爱之门”(Worm_Lovgate.C)
病毒类型:蠕虫
感染系统:Windows 95/98/Me/NT/2000/XP
病毒介绍:

该病毒兼有蠕虫和黑客的功能。作为蠕虫,它能够通过电子邮件进行传播,并通过
共享文件夹在局域网内传播;作为后门程序,它允许远程用户通过10168端口对被
感染用户的计算机进行访问和操作。并且病毒能够通过局域网进行传播,局域网中
一旦一台计算机被感染,病毒就会扩散到整个局域网,从而导致网内所有计算机均
处于被控的危险状态,系统安全和信息安全收到极大的威胁。因此,国家计算机病
毒应急处理中心提醒各政府部门和企事业单位尤其应当留意该病毒,避免局域网遭
受此病毒的感染。值得注意的是,由于病毒可以通过对Microsoft Outlook和
Outlook Express中收到的邮件进行回复的形式向外发送病毒邮件,与以往的病毒
邮件相比,更具欺骗性和迷惑性。
该病毒在台湾、日本、法国、澳大利亚等国家已迅速传播。北京、深圳、上海等地
均有用户遭受该病毒的感染。

病毒的主要特征如下:
1、 释放病毒程序
病毒运行后将自身拷贝到windows的系统文件夹下,文件名可能为下列任意一个:
rpcsrv.exe 、syshelp.exe 、WinGate.exe 、winrpc.exe 、WinRpcsrv.exe。
在windows NT/2000/XP上,病毒会生成下列文件之一:1.dll 、ily.dll 、reg.
dll 、task.dll。
2、 修改注册表
病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRunsyshelp =
 "%System%\syshelp.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWinGate

initialize = "%System%\WinGate.exe -remoteshell"
病毒修改注册表,使得在此之后,用户打开.txt文件时,病毒也随之运行
HKEY_CLASSES_ROOT\txtfile\shell\open\command
Default = "winrpc.exe %1"
3、 修改win.ini文件
病毒还对win.ini文件进行修改,将“run=” 修改为“run=rpcsvr.exe”
4、 密码试探
    病毒会使用一些简单的密码尝试对Administrator账号进行连接。(密码分别
为123
111111、123456、12345678、321 、654321、666666、888888、abc、abc123、
abcdef、abcdefg、
admin、administrator、guest)。如果连接成功,病毒将自身将自己复制到系统
的\admin\system32\下,命名为stg.exe,并注册成服务“Window Remote
Service”。
5、 通过局域网进行传播
通过局域网传播时,病毒生成自身的拷贝到局域网的共享文件夹下,名称可能为下
列任意一个:illgt.exe、card.exe 、docs.exe 、fun.exe 、hamster.exe 、
humor.exe 、images.exe 、joke.exe 、midsong.exe 、news_doc.exe 、pics.
exe 、PsPGame.exe 、s3msong.exe 、searchURL.exe 、setup.exe 、
tamagotxi.exe 。
6、 通过邮件进行传播
病毒使用自带的SMTP(简单邮件传输协议)和MAPI(邮件应用程序接口),向外发
送染毒邮件,其形式是对Microsoft Outlook和Outlook Express中收到的邮件进行
回复,与以往的病毒邮件相比,更具欺骗性和迷惑性。
病毒还从.HT*文件中搜索邮件地址,并向这些地址发送染毒邮件。染毒邮件的主题
、内容和附件都有多种形式,主题可能为Documents、Help、Beta、The patch、
Last Update等,附件为一个exe文件,如Docs.exe、Source.exe、_SetupB.exe、
Pack.exe等。
7、通过“后门” 窃取信息
病毒运行后会在系统上开一个“后门”,通过打开10168端口对被感染用户进行连
接和操作,远程用户可以通过该端口在被感染计算机上执行程序,获取信息,对运
行的后门程序进行配置。这样一来,远端用户就能够轻易得到被感染计算机的各种
信息,被感染用户的系统安全收到了严重的威胁。

清除改病毒的一些相关操作:
1、终止病毒进程
在Windows 95/98/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系
统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行
的进程病毒程序,并终止其运行,然后关闭“任务管理器”。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器
(1)依次双击左侧的
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删
除右侧面板中的下列内容
syshelp = "%System%\syshelp.exe"
WinGate initialize = "%System%\WinGate.exe -remoteshell"
Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"
(其中%system%在Windows95/98/Me系统中为C:\Windows\System,在Windows
NT/2000中为C:\WINNT\System32,在Windows XP中为C:\W Windows \System32)
(2)依次双击左侧的HKEY_CLASSES_ROOT>txtfile>shell>open>command,选中右
侧面板中的 “default(默认)”,如果其键值为"winrpc.exe %1",将其修改为
%System%\NOTEPAD.EXE %1。修改完毕后关闭注册表编辑器
3、win.ini文件的修改和恢复
点击“开始——〉运行”,输入win.ini,点击“确定”。在[windows]部分中,将
Run=rpcsvr.exe中“=”右侧的部分“rpcsvr.exe”删除,保存并关闭win.ini。
4、完成上述工作后重新启动计算机,对系统进行全面的病毒检测和清除。


--
************************************
          ^O^菜鸟一个^O^
 CET ftp://210.39.3.102/常用软件/
************************************

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.32]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店