爱情后门病毒介绍

lovgate集蠕虫、后门、黑客于一身，通过病毒邮件进行邮件传播，通过建立后门给用户的计算机建立一个泄密通道，通过放出后门程序与外界远程木马沟通，通过放出盗窃密码程序主动盗窃计算机密码，通过远程疯狂传播局域网，最终导致所有计算机用户受到病毒控制，网络瘫痪、信息泄露等严重后果。

一、病毒资料

名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小：97,280字节
传播途径：EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径：Lovgate病毒新的变种，通过445端口搜索邻近IP共享目录，对密码进行弱口令破解，成功后共享media目录，启动NETMANAGER.EXE远程管理程序，并做为服务器继续搜索邻近IP，快速传播。

二、病毒被执行时，产生下列文件：

%System%\Hxdef.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes)
%System%\spollsv.exe (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\RAVMOND.exe
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL
C:\COMMAND.EXE （被加入autorun.inf文件，双击磁盘时自动转行）

三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下：

pass
bak
password
email
book
letter
important

四、更改注册表，机器启动时自动加载运行病毒程序

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" = RAVMOND.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In 

 Windows" = %SysDir%\IEXPLORE.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices 
"SystemTra" = %WinDir%\SysTra.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW 
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg

其中最后一行，为病毒的后门服务。

五、自动生成和加载三个服务

1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
描述：提供后门服务

2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器，执行计划性扫描局域网。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows

3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic
描述：为远程管理程序，提供后门服务。

六、由于病毒会自动检测进程，如果发现被关闭，就会继续产生病毒进程。而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中，几乎没有办法手动完全关闭病毒进程。

七、病毒在每个磁盘分区会创建文件AUTORUN.INF，以及COMMAND.COM或者COMMAND.EXE病毒文件。双击磁盘时，系统会根据AUTORUN.INF文件的指示，调用COMMAND.COM/EXE病毒文件，结果是无法打开磁盘分区。右键可以打开。

八、病毒检测移动磁盘，网络映射磁盘，以及盘符超过E的磁盘。如果发现有EXE文件，病毒会把它改名，后缀为.ZMX,并且隐藏文件。病毒会创造同名的EXE文件，125K，为病毒体。

九、处理方法

 硬盘分区无法双击打开，显示所有文件，删除AUTORUN.INF。对于此病毒，

可以在网上下载专杀工具，或登陆ftp://202.117.128.9/soft/%C9%B1%B6%BE%B7%C0%BB%A4下载里边的Auto病毒专杀 V2.1 Build 0520.zip压缩包，解压后直接杀毒即可。

                                              校    园    网

                                              2007-10-16