W32.Lovgate.R@mm(lovgate.w)
别名:Win32/LovGate.AB.Worm, W32/Lovgate.R@mm (F-Secure), I-Worm.LovGate.w (Kaspersky), WORM_LOVGATE.W (Trend), W32/Lovgate.x@MM (McAfee)
W32.Lovgate.R@mm 病毒运行后,执行如下过程:
1.把自身复制成如下文件:
%Windir%\Systra.exe
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\Kernel66.dll(设置成隐藏,只读的系统属性)
%System%\WinHelp.exe
* 缺省情况下Windows NT/2000System文件夹为C:\Winnt\ System32, XP下为C:\Windows\System32
2.创建下列文件:
%System%\ODBD16.DLL(53,760 bytes)
%System%\Msjdbc11.DLL(53,760 bytes)
%System%\MSSIGN30.DLL(53,760 bytes)
%System%\NetMeeting.exe(61,440 bytes)
%System%\spollsv.exe(61,440 bytes)
3.在病毒所在文件夹下,可能创建如下文件:
a
results.txt
win2k.txt
winxp.txt
4.病毒修改注册表:
1).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加如下键值确保自身在系统运行后启动:
"Hardware Profile"="%System%\hxdef.exe"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Proteced Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%System%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSING30.DLL ondll_reg"
"WinHelp"="%System%"\WinHelp.exe
2).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下添加如下键值将自身设为服务(Windows 95/98/Me下):
"SystemTra"="%Windir%\Systra.exe"
3).在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下添加如下键值使得(NT/2000/XP)系统启动时,病毒同时运行:
"run"="RAVMOND.exe"
4).创建子键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1
5.停止如下服务:
Rising Realtime Monitor Service
Symantec Antivirus server
Symantec Client
6.创建关联"Rundll32.exe msjdbc11.dll ondll_server"的服务:"Windows Management Protocol v.0(experimental).","_reg"
7.终结包含如下字符串的所有进程(很明显,病毒想停止杀毒程序的进程):
KV
KAV
Duba
NAV
kill
RavMon.exe
Rfw.exe
Gate
McAfee
Symantec
SkyNet
rising
8.在6000端口上运行后门程序,该程序收集机器的系统信息保存到C:\Netlog.txt中,并将其发送至攻击者。
9.以如下形式将自身拷贝到所有网络共享文件夹及其子文件夹下:
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
10.扫描本机所在局域网,以"Administrator"作为账号,并用如下字符串作为口令试探登陆其他机器:
Guest
Administrator
.....
*如果没有设置密码,病毒同样会用"Adimistrator"登陆远程机器
11.如果病毒能够成功登陆远程机器,它会尝试将自身复制到\\<remote computer name>\admin$\system32\NetManager.exe,并把文件"Windows Management NetWork Service Extensions."设为服务
12.向Explore.exe或者Taskmgr.exe中注入线程,如果线程发现病毒程序没有运行,或者已经被删除,它会尝试拷贝自身并运行。
13.在随机端口打开FTP服务,并且不加认证,这也意味着被感染的机器已经向所有人开放。
14.创建一个网络共享"Media",指向"%Windir%\Media"
15.在所有硬盘分区(不包括A,B)的根目录下创建压缩文件:<filename>.<ext>。
<filename>通常是如下中一个:
WORK
setup
Important
bak
letter
pass
<ext>通常是RAR或者ZIP
该压缩包中包含一份病毒的备份文件,文件名为<filename>.<ext>
<filename>通常是如下中一个:
WORK
setup
Important
book
email
PassWord
<ext>通常是exe,com,pif,scr
16.在所有分(不含CD-ROM分区)的根目录下创建文件Autorun.inf,并将其拷贝为该文件夹下的Command.com
*如果双击该图标,病毒将被运行.
17.病毒扫描所有硬盘分区,一旦发现分区属于移动硬盘,映射驱动器或者分区号超过E,则病毒将执行如下操作:
尝试将所有扩展名为.exe的文件其扩展名改成.zmx
将这些文件的属性设成“隐藏”和“系统”
将自身拷贝为原始文件名
例如:病毒发现文件temp.exe,它将把文件更名为temp.zmx,并将自己的一个拷贝改名为temp.exe
18.通过DCOM RPC漏洞(基于TCP协议的135端口),尝试攻击其他机器
19.通过各种邮件客户端程序(包括OE),回复邮箱里的所有来信
例如: 原始邮件如下:
Subject: <subject>
From: <someone>@<somewhere.com>
Message: <original message body>
病毒尝试发送如下邮件:
Subject: Re: <subject>
To: <someone>@<somewhere.com>
Message:
<someone> wrote:
====
> <original message body>
>
====
<senders domain> account auto-reply:
后边通常是:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,dont deal in lies,
Or, being hated, dont give way to hating,
And yet dont look too good, nor talk too wise;
... ... more look to the attachment.
> Get your FREE <senders domain>now! <
附件通常是下边中的一个:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
20.扫描系统的WAB文件,Internet临时文件夹,映射驱动器,以及内存,将自身通过收集到的邮件地址发送出去。
21.病毒遍历所有硬盘分区以及内存,在扩展名是下列几种的文件中收集E-mail地址:
.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
22.使用其自身携带的SMTP引擎,发送邮件
邮件如下:
发送人: 发送人的姓名在病毒携带的列表里随机寻找一个
标题: 邮件的主题通常是下边的一个:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文: 邮件内容通常是下边的一个:
Its the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail failed. For further assistance, please contact!
附件: 随机创建文件名,并生成如下扩展名:
.exe
.scr
.pif
.cmd
.bat
.zip
.rar |