Worm.LovGate.k

2008-02-23 09:21:27来源：互联网阅读 ()

病毒名称: Worm.LovGate.k 类别：蠕虫病毒病毒资料：破坏方法：

Worm.LovGate的新变种，该变种被加入了传染的部分，实现为:病毒体内包了一个EXE文件“绑定”器。当病毒运行时，将自己复制到windows目录下并注册成系统服务。然后把自己分别复制到system目录下，文件名为syshelp.exe，WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程，并对其殖入远程后门代码。该代码，将响应用户tcp请求建方一个远程shell进程。win9x为command.com，NT,WIN2K,WINXP为cmd.exe）之后病毒将自身复制到windows目录并尝试在win.ini中加入run=ravmond.exe（病毒本身）并进入传播流程。

病毒的几个功能：

1.密码试探攻击：

病毒利用ipc进行guest和Administrator账号的简单密码试探。（使用如12345678，abcdef，888888）

2.放出后门程序：

病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口10168）

3.盗用密码：

病毒放出一个名为win32vxd.dll的文件（hook函数）用以盗取用户密码。

4.后门

病毒本身也将建立一个后门，等待用户连入。

4.局域网传播：

病毒穷举网络资源，并将自己复制过去。文件名为随机的选取，病毒体内的文件名

4.发邮件
病毒利用mapi及搜出的email地址，对收信箱里的邮件进行回复（传播）。
邮件标题随机从病毒体内选出邮件地址搜索线程
病毒启动一个线程通过注册表

Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders得到系统目录
并搜索*.ht*中的email地址。用以进行邮件传播。

5.邮件通知病毒作者

当病毒被运行后每隔3600秒发送一次通知邮件给位于163.com的一个信箱。邮件的标题是xyz123xyz123 内容为中毒系统的ip地址，以便利用病毒的后门进行控制。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。

发现日期： 2003-5-15

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有