本周15.36.01版新增4个可查杀病毒，主要包括： WINDOWS下的PE病毒(4)；

WINDOWS下的PE病毒(4)

1.Worm.LovGate.p
破坏方法：蠕虫“爱情后门”变种Worm.LovGate的新变种。该变种被加入了传染的部分，实现为:病毒体内包了一个EXE文件“绑定”器
  当病毒运行时，将自己复制到windows目录下并注册成系统服务。然后把自己分别复制到system目录下，文件名为syshelp.exe，WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程，并对其殖入远程后门代码。（该代码，将响应用户tcp请求建方一个远程shell进程。win9x为command.com，NT,WIN2K,WINXP为cmd.exe）之后病毒将自身复制到windows目录并尝试在win.ini中加入run=ravmond.exe（病毒本身）并进入传播流程。
病毒的几个功能：
 1.密码试探攻击：
病毒利用ipc进行guest和Administrator账号的简单密码试探。（使用如12345678，abcdef，888888） 
 2.放出后门程序：
  病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口10168）
 3.盗用密码：
病毒放出一个名为win32vxd.dll的文件（hook函数）用以盗取用户密码。
 4.后门
 病毒本身也将建立一个后门，等待用户连入。 
 5.局域网传播：
病毒穷举网络资源，并将自己复制过去。文件名为随机的选取，病毒体内的文件名
6.发邮件
病毒利用mapi及搜出的email地址，对收信箱里的邮件进行回复（传播）。
邮件标题随机从病毒体内选出邮件地址搜索线程
病毒启动一个线程通过注册表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系统目录并搜索*.ht*中的email地址。用以进行邮件传播。
7.邮件通知病毒作者
 当病毒被运行后每隔3600秒发送一次通知邮件给位于163.com的一个信箱。邮件的标题是xyz123xyz123 内容为中毒系统的ip地址，以便利用病毒的后门进行控制。

2.Worm.LovGate.p.enc
破坏方法：Worm.LovGate的新变种。该变种被加入了传染的部分，实现为:病毒体内包了一个EXE文件“绑定”器。当病毒运行时，将自己复制到windows目录下并注册成系统服务。然后把自己分别复制到system目录下，文件名为syshelp.exe，WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程，并对其殖入远程后门代码。（该代码，将响应用户tcp请求建方一个远程shell进程。win9x为command.com，NT,WIN2K,WINXP为cmd.exe）之后病毒将自身复制到windows目录并尝试在win.ini中加入run=ravmond.exe（病毒本身）并进入传播流程。

病毒的几个功能：
 1.密码试探攻击：
病毒利用ipc进行guest和Administrator账号的简单密码试探。（使用如12345678，abcdef，888888） 
 2.放出后门程序：
  病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口10168）
 3.盗用密码：
病毒放出一个名为win32vxd.dll的文件（hook函数）用以盗取用户密码。
 4.后门
 病毒本身也将建立一个后门，等待用户连入。
5局域网传播：
病毒穷举网络资源，并将自己复制过去。文件名为随机的选取，病毒体内的文件名
6.发邮件
病毒利用mapi及搜出的email地址，对收信箱里的邮件进行回复（传播）。
邮件标题随机从病毒体内选出邮件地址搜索线程
病毒启动一个线程通过注册表
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系统目录并搜索*.ht*中的email地址。用以进行邮件传播。
7.邮件通知病毒作者
 当病毒被运行后每隔3600秒发送一次通知邮件给位于163.com的一个信箱。邮件的标题是xyz123xyz123 内容为中毒系统的ip地址，以便利用病毒的后门进行控制。

3.Worm.SoBig.b.enc
破坏方法：该病毒运行后，将自己复制到system目录下，文件名为:msccn32.exe ，并在注册表run项中加入自己的键值。病毒搜索磁盘中的*.web,*.txt,*.dbx ，*.htm,*.html及*.eml文件。并从中提取出mail地址进行邮件传播。
邮件的标题可能为：
Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application
邮件的附件名为：
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
...
  病毒通过枚举本地局域网资源并试图将病毒文件复制到周围系统的c$,d$,e$的\Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
  该病毒还会自动从四个网站下载文件并运行。

4.Worm.SoBig.b
破坏方法：该病毒运行后，将自己复制到system目录下，文件名为:msccn32.exe，在注册表run项中加入自己的键值。病毒搜索磁盘中的*.web,*.txt,*.dbx ，*.htm,*.html及*.eml文件。并从中提取出mail地址进行邮件传播。
邮件的标题可能为：
Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application
邮件的附件名为：
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
...
  病毒通过枚举本地局域网资源并试图将病毒文件复制到周围系统的c$,d$,e$的\Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup目录。
  该病毒还会自动从四个网站下载文件并运行。