荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: KC (魔羯走低~~||我无情无欲无爱无心...), 信区: Virus
标 题: Re: 爱之门 Worm_Lovgate.C
发信站: 荔园晨风BBS站 (Sat Apr 5 20:13:17 2003), 站内信件
那就先按照文章说的先手动杀,再用专杀,最好在安全模式杀。
【 在 zzbule (* * * * * * * * *) 的大作中提到: 】
: 为什么我怎么杀都杀不了阿?用瑞星杀了以后过了一下又有???
: 该怎么杀阿?用那个专杀软件都没有查到什么毒。。。
: 【 在 KC (魔羯走低~~||我无情无欲无爱无心...) 的大作中提到: 】
: 为什么我没装防火墙都不会中的-_-
: 【 在 wolfron (flyselina我爱你^O^) 的大作中提到: 】
: : 文章来源: 国家计算机病毒应急处理中心
: : 病毒名称:“爱之门”(Worm_Lovgate.C)
: : 病毒类型:蠕虫
: : 感染系统:Windows 95/98/Me/NT/2000/XP
: : 病毒介绍:
: : 该病毒兼有蠕虫和黑客的功能。作为蠕虫,它能够通过电子邮件进行传播,并通过
: : 共享文件夹在局域网内传播;作为后门程序,它允许远程用户通过10168端口对被
: : 感染用户的计算机进行访问和操作。并且病毒能够通过局域网进行传播,局域网中
: : 一旦一台计算机被感染,病毒就会扩散到整个局域网,从而导致网内所有计算机均
: : 处于被控的危险状态,系统安全和信息安全收到极大的威胁。因此,国家计算机病
: : 毒应急处理中心提醒各政府部门和企事业单位尤其应当留意该病毒,避免局域网遭
: : 受此病毒的感染。值得注意的是,由于病毒可以通过对Microsoft Outlook和
: : Outlook Express中收到的邮件进行回复的形式向外发送病毒邮件,与以往的病毒
: : 邮件相比,更具欺骗性和迷惑性。
: : 该病毒在台湾、日本、法国、澳大利亚等国家已迅速传播。北京、深圳、上海等地
: : 均有用户遭受该病毒的感染。
: : 病毒的主要特征如下:
: : 1、 释放病毒程序
: : 病毒运行后将自身拷贝到windows的系统文件夹下,文件名可能为下列任意一个:
: : rpcsrv.exe 、syshelp.exe 、WinGate.exe 、winrpc.exe 、WinRpcsrv.exe。
: : 在windows NT/2000/XP上,病毒会生成下列文件之一:1.dll 、ily.dll 、reg.
: : dll 、task.dll。
: : 2、 修改注册表
: : 病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行
: : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRunsyshelp =
: : "%System%\syshelp.exe"
: : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWinGate
: : initialize = "%System%\WinGate.exe -remoteshell"
: : 病毒修改注册表,使得在此之后,用户打开.txt文件时,病毒也随之运行
: : HKEY_CLASSES_ROOT\txtfile\shell\open\command
: : Default = "winrpc.exe %1"
: : 3、 修改win.ini文件
: : 病毒还对win.ini文件进行修改,将“run=” 修改为“run=rpcsvr.exe”
: : 4、 密码试探
: : 病毒会使用一些简单的密码尝试对Administrator账号进行连接。(密码分别
: : 为123
: : 111111、123456、12345678、321 、654321、666666、888888、abc、abc123、
: : abcdef、abcdefg、
: : admin、administrator、guest)。如果连接成功,病毒将自身将自己复制到系统
: : 的\admin\system32\下,命名为stg.exe,并注册成服务“Window Remote
: : Service”。
: : 5、 通过局域网进行传播
: : 通过局域网传播时,病毒生成自身的拷贝到局域网的共享文件夹下,名称可能为下
: : 列任意一个:illgt.exe、card.exe 、docs.exe 、fun.exe 、hamster.exe 、
: : humor.exe 、images.exe 、joke.exe 、midsong.exe 、news_doc.exe 、pics.
: : exe 、PsPGame.exe 、s3msong.exe 、searchURL.exe 、setup.exe 、
: : tamagotxi.exe 。
: : 6、 通过邮件进行传播
: : 病毒使用自带的SMTP(简单邮件传输协议)和MAPI(邮件应用程序接口),向外发
: : 送染毒邮件,其形式是对Microsoft Outlook和Outlook Express中收到的邮件进行
: : 回复,与以往的病毒邮件相比,更具欺骗性和迷惑性。
: : 病毒还从.HT*文件中搜索邮件地址,并向这些地址发送染毒邮件。染毒邮件的主题
: : 、内容和附件都有多种形式,主题可能为Documents、Help、Beta、The patch、
: : Last Update等,附件为一个exe文件,如Docs.exe、Source.exe、_SetupB.exe、
: : Pack.exe等。
: : 7、通过“后门” 窃取信息
: : 病毒运行后会在系统上开一个“后门”,通过打开10168端口对被感染用户进行连
: : 接和操作,远程用户可以通过该端口在被感染计算机上执行程序,获取信息,对运
: : 行的后门程序进行配置。这样一来,远端用户就能够轻易得到被感染计算机的各种
: : 信息,被感染用户的系统安全收到了严重的威胁。
: : 清除改病毒的一些相关操作:
: : 1、终止病毒进程
: : 在Windows 95/98/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系
: : 统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行
: : 的进程病毒程序,并终止其运行,然后关闭“任务管理器”。
: : 2、注册表的恢复
: : 点击“开始——〉运行”,输入regedit,运行注册表编辑器
: : (1)依次双击左侧的
: : HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删
: : 除右侧面板中的下列内容
: : syshelp = "%System%\syshelp.exe"
: : WinGate initialize = "%System%\WinGate.exe -remoteshell"
: : Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"
: : (其中%system%在Windows95/98/Me系统中为C:\Windows\System,在Windows
: : NT/2000中为C:\WINNT\System32,在Windows XP中为C:\W Windows \System32)
: : (2)依次双击左侧的HKEY_CLASSES_ROOT>txtfile>shell>open>command,选中右
: : 侧面板中的 “default(默认)”,如果其键值为"winrpc.exe %1",将其修改为
: : %System%\NOTEPAD.EXE %1。修改完毕后关闭注册表编辑器
: : 3、win.ini文件的修改和恢复
: : 点击“开始——〉运行”,输入win.ini,点击“确定”。在[windows]部分中,将
: : Run=rpcsvr.exe中“=”右侧的部分“rpcsvr.exe”删除,保存并关闭win.ini。
: : 4、完成上述工作后重新启动计算机,对系统进行全面的病毒检测和清除。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.120]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店