返回   青蛙论坛 » 青蛙摄影论坛 » 游手好闲
刷新本页 我国发现“爱之门”(Worm_Lovgate.C)病毒
用户名
密码
帮助 会员 日历 标记论坛为已读

回复
 
主题工具 显示模式
旧 03-06-2003, 09:37   #1
chyangwa
蝌蚪-小毛驴
 
chyangwa的头像
 
注册日期: Nov 2000
来自: 上海
帖子: 8,285
精华: 6
我国发现“爱之门”(Worm_Lovgate.C)病毒
我国发现“爱之门”(Worm_Lovgate.C)病毒

 
国家计算机病毒应急处理中心在2003年2月25日上午通过监测发现一种新型的蠕虫病毒“爱之门”(Worm_Lovgate.C)已经侵入我国的网络。该病毒在台湾、日本、法国、澳大利亚等国家已迅速传播。

截止到今天早晨,国内北京、深圳、上海等地都有用户遭受该病毒的感染,被感染用户在100例左右。

该病毒兼有蠕虫和黑客的功能,并能够通过局域网进行传播,局域网中一旦一台计算机被感染,病毒就会扩散到整个局域网,从而导致网内所有计算机均处于被控的危险状态,系统安全和信息安全收到极大的威胁。也就是说该病毒危害最严重的将会是政府部门和企事业单位的局域网。值得注意的是,由于病毒可以通过对Microsoft Outlook和Outlook Express中收到的邮件进行回复的形式向外发送病毒邮件,与以往的病毒邮件相比,更具欺骗性和迷惑性。

有关病毒的技术分析报告如下。

一、 感染系统

Windows 95/98/Me/NT/2000/XP

二、 技术特点

病毒名称:“爱之门”(Worm_Lovgate.C)

病毒类型:蠕虫

病毒长度:78848

病毒特征:

该病毒兼有蠕虫和黑客的功能。作为蠕虫,它能够通过电子邮件进行传播,并通过共享文件夹在局域网内传播;作为后门程序,它允许远程用户通过10168端口对被感染用户的计算机进行访问和操作。病毒的主要特征如下:

1、 释放病毒程序

病毒运行后将自身拷贝到windows的系统文件夹下,文件名可能为下列任意一个:rpcsrv.exe 、syshelp.exe 、WinGate.exe 、winrpc.exe 、WinRpcsrv.exe。

在windows NT/2000/XP上,病毒会生成下列文件之一:1.dll 、ily.dll 、reg.dll 、task.dll。

2、 修改注册表

病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Runsyshelp = "%System%\syshelp.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWinGate

initialize = "%System%\WinGate.exe -remoteshell"

病毒修改注册表,使得在此之后,用户打开.txt文件时,病毒也随之运行HKEY_CLASSES_ROOT\txtfile\shell\open\command

Default = "winrpc.exe %1"

3、 修改win.ini文件

病毒还对win.ini文件进行修改,将“run=” 修改为“run=rpcsvr.exe”

4、 密码试探

病毒会使用一些简单的密码尝试对Administrator账号进行连接。(密码分别为123、111111、123456、12345678、321 、654321、666666、888888、abc、abc123、abcdef、abcdefg、admin、administrator、guest)。如果连接成功,病毒将自身将自己复制到系统的\admin\system32\下,命名为stg.exe,并注册成服务“Window Remote Service”。

5、 通过局域网进行传播

通过局域网传播时,病毒生成自身的拷贝到局域网的共享文件夹下,名称可能为下列任意一个:illgt.exe、card.exe 、docs.exe 、fun.exe 、hamster.exe 、humor.exe 、images.exe 、joke.exe 、midsong.exe 、news_doc.exe 、pics.exe 、PsPGame.exe 、s3msong.exe 、searchURL.exe 、setup.exe 、tamagotxi.exe 。

6、 通过邮件进行传播

病毒使用自带的SMTP(简单邮件传输协议)和MAPI(邮件应用程序接口),向外发送染毒邮件,其形式是对Microsoft Outlook和Outlook Express中收到的邮件进行回复,与以往的病毒邮件相比,更具欺骗性和迷惑性。

病毒还从.HT*文件中搜索邮件地址,并向这些地址发送染毒邮件。邮件格式为下列之一:

主题:Documents

附件:Docs.exe

内容:Send me your comments...

主题:Roms

附件:Roms.exe

内容:Test this ROM! IT ROCKS!.

主题:Pr0n!

附件:Sex.exe

内容:Adult content!!! Use with parental advisory.

主题:Evaluation copy

附件:Setup.exe

内容:Test it 30 days for free.

主题:Help

附件:Source.exe

内容:I'm going crazy... please try to find the bug!

主题:Beta

附件:_SetupB.exe

内容:Send reply if you want to be official beta tester.

主题:Do not release

附件:Pack.exe

内容:This is the pack

主题:Last Update

附件:LUPdate.exe

内容:This is the last cumulative update.

主题:The patch

附件:Patch.exe

内容:I think all will work fine.

主题:Cracks!

附件:CrkList.exe

内容:Check our list and mail your requests!

7、通过“后门” 窃取信息

病毒运行后会在系统上开一个“后门”,通过打开10168端口对被感染用户进行连接和操作,远程用户可以通过该端口在被感染计算机上执行程序,获取信息,对运行的后门程序进行配置。这样一来,远端用户就能够轻易得到被感染计算机的各种信息,被感染用户的系统安全收到了严重的威胁。

三、 解决方案

清除改病毒的一些相关操作:

1、终止病毒进程

在Windows 95/98/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的进程病毒程序,并终止其运行,然后关闭“任务管理器”。

2、注册表的恢复

点击“开始——〉运行”,输入regedit,运行注册表编辑器

(1)依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除右侧面板中的下列内容

syshelp = "%System%\syshelp.exe"

WinGate initialize = "%System%\WinGate.exe -remoteshell"

Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"

(其中%system%在Windows95/98/Me系统中为C:\Windows\System,在Windows NT/2000中为C:\WINNT\System32,在Windows XP中为C:\W Windows \System32)

(2)依次双击左侧的HKEY_CLASSES_ROOT>txtfile>shell>open>command,选中右侧面板中的 “default(默认)”,如果其键值为"winrpc.exe %1",将其修改为%System%\NOTEPAD.EXE %1。修改完毕后关闭注册表编辑器

3、win.ini文件的修改和恢复

点击“开始——〉运行”,输入win.ini,点击“确定”。在[windows]部分中,将Run=rpcsvr.exe中“=”右侧的部分“rpcsvr.exe”删除,保存并关闭win.ini。

4、完成上述工作后重新启动计算机,对系统进行全面的病毒检测和清除。

目前,国家计算机病毒应急处理中心已经接到赛门铁克公司、冠群金辰公司、瑞星公司、江民公司、韩国安博士公司的报告。并通知各防病毒公司做好病毒的进一步监测工作,随时上报病毒动态信息。同时,国家计算机病毒应急处理中心再次提醒广大计算机用户及时升级杀毒软件并启动实时监控功能,关闭不必要的端口,以提高系统的安全性和可靠性,同时留意病毒邮件特征并谨慎收取电子邮件,可疑邮件及时删除。
__________________
生活就象是强奸,如果无力反抗那就闭上眼睛好好享受.
工作就象是轮奸,你不行就赶紧让别人换上来.
社会就象是自慰,我们总要用自己的双手来解决自己的问题~!
chyangwa离线中   回复时引用此帖
旧 03-06-2003, 18:32   #2
洪七公
我是谁??????
 
洪七公的头像
 
注册日期: Oct 2001
帖子: 402
精华: 0
青蛙昨天是不是中毒了?主页全是英文。
__________________
我喜欢拆-----------
洪七公离线中   回复时引用此帖
旧 03-06-2003, 20:09   #3
chyangwa
蝌蚪-小毛驴
 
chyangwa的头像
 
注册日期: Nov 2000
来自: 上海
帖子: 8,285
精华: 6
这几天这个病毒比较多。 我公司也发现了好几台机器有这个问题。
__________________
生活就象是强奸,如果无力反抗那就闭上眼睛好好享受.
工作就象是轮奸,你不行就赶紧让别人换上来.
社会就象是自慰,我们总要用自己的双手来解决自己的问题~!
chyangwa离线中   回复时引用此帖
旧 03-06-2003, 21:50   #4
洪七公
我是谁??????
 
洪七公的头像
 
注册日期: Oct 2001
帖子: 402
精华: 0
完了,无忌刚刚上不去了。
也中招了?
__________________
我喜欢拆-----------
洪七公离线中   回复时引用此帖
旧 03-06-2003, 22:01   #5
chyangwa
蝌蚪-小毛驴
 
chyangwa的头像
 
注册日期: Nov 2000
来自: 上海
帖子: 8,285
精华: 6
应该没有什么关系。
__________________
生活就象是强奸,如果无力反抗那就闭上眼睛好好享受.
工作就象是轮奸,你不行就赶紧让别人换上来.
社会就象是自慰,我们总要用自己的双手来解决自己的问题~!
chyangwa离线中   回复时引用此帖
旧 03-08-2003, 21:15   #6
patricks
注册用户
 
patricks的头像
 
注册日期: Mar 2002
帖子: 237
精华: 0
还是SQL病毒厉害。
我们网内有几个单位中了(也就不到五台机器),疯狂连接外部机器的udp1434口,造成出口堵塞。出口防火墙上同时连接数超过1M个。

害的我今天加班……
__________________
金元宝
_ - _
(\/\/)
\______/
金元宝
patricks离线中   回复时引用此帖
回复

« 上一主题 | 下一主题 »

主题工具
显示模式
平板模式 平板模式

发帖规则
不可以发表新主题
不可以回复主题
不可以上传附件
不可以编辑您的帖子
vB 代码开启
[IMG]代码开启
HTML代码关闭
论坛跳转



所有的时间均为北京时间。 现在的时间是 03:25.

联系我们 - 青蛙网站 - 存档 - 返回顶端

NewvBB Core 1.1 Final - vBulletin v3.0.3
中文化与插件制作 NewVBB.com™ 2026。
友情连接        
摩托车.上海.中国        
         
         
         
         
         

上海市通信管理局
沪ICP备010502
沪ICP备05000578号