该病毒是蠕虫病毒“爱情后门”的新变种,是一个集蠕虫、后门一身的病毒,采用VC++编写,多层压缩。
发现日期:3月11日
一、病毒评估
1.病毒中文名:爱情后门变种V
2.病毒英文名:Worm.LovGate.v.
3.病毒大小:124,928 字节
4.病毒类型:蠕虫病毒
5.病毒危险等级:★★★★
6.病毒传播途径:网络/邮件
7.病毒依赖系统:WINDOWS9X/NT/2000/XP
二、病毒的破坏
1.释放后门病毒
病毒将在系统中殖入远程后门代码,该代码,将响应远程恶意用户tcp请求建方一个远程shell进程。(win9x为command.com,NT,WIN2K,WINXP为cmd.exe),可以对本地机器进行完全控制。
2. 释放通过QQ传播的病毒:“Worm.LovGate.v.QQ”
该病毒通过发送诱惑信息导致用户上当,从而中毒,详情请参考该病毒报告。
三、病毒报告
该病毒是蠕虫病毒"爱情后门"的新变种,是一个集蠕虫、后门一身的病毒,采用VC++编写,多层压缩。
一旦运行,病毒将执行以下操作:
1.自我复制到系统目录,相关文件名为:
%SYSDIR%\IEXPLORE.EXE
%SYSDIR%\kernel66.dll
%SYSDIR%\RAVMOND.exe
%SYSDIR%\SysBoot.EXE
%SYSDIR%\WinDriver.exe
%SYSDIR%\winexe.exe
%SYSDIR%\WinGate.exe
%SYSDIR%\WinHelp.exe
同时也在每一个硬盘和可移动驱动器根目录下复制自己:
%DRIVER%\SysBoot.exe
2.病毒将释放一个DLL文件,此文件将在系统中殖入远程后门代码,相关文件名为:
%SYSDIR%\reg678.dll
%SYSDIR%\Task688.dll
该代码,将响应远程恶意用户tcp请求建方一个远程shell进程。(win9x为command.com,NT,WIN2K,WINXP为cmd.exe),可以对本地机器进行完全控制。
3.病毒将释放一个利用QQ发送消息传播的病毒:“Worm.LovGate.v.QQ”,相关文件名目录为:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
详细报告请查阅该病毒报告。
4.病毒将修改注册表的如下键值<病毒自启动的伎俩>:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(默认) : %SYSDIR%\WINEXE.EXE "%1" %*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinGate initialize" = "%SYSDIR%\WINGATE.EXE -REMOTESHELL"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"WinHelp" = "%SYSDIR%\WINHELP.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL ONDLL_REG"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Program In Windows" = "%SYSDIR%\IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices
"SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"
在win9x下还修改系统文件:
WIN.INI
[WINDOWS]
"RUN" = "RAVMOND.EXE"
在win2k、NT、XP下注册服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg
Display Name = "ll_reg "
IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension
Display Name = "Windows Management Instrumentation Driver Extension"
IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER"
病毒也将在每一个硬盘和可移动盘的根目录下建立一个文件:AUTORUN.INF的文件,内容为:
[AUTORUN]
Open="%DRIVER%:\SysBoot.EXE" /StartExplorer
其中%DRIVER%为相应的驱动器。
这样在用户打开该驱动器后将运行病毒。
5.病毒的破坏功能:
Windows弱口令密码试探攻击、放出后门程序、盗取密码。
6.局域网传播:
病毒穷举网络资源,并将自己复制过去,文件名为随机的选取。
7.邮件传播
病毒利用mapi及搜出的email地址,对收信箱里的邮件进行回复(传播)。
邮件标题随机从病毒体内选出
当病毒被运行后每隔一定时间发送一次通知邮件给
位于163.com的一个信箱,邮件内容为中毒系统的ip地址,以便利用病毒的后门进行控制。
四、病毒解决方案:
1.进行升级
瑞星公司将于3月12日当天进行升级,升级后的软件版本号为16.17.20,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。
2.使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载,并进行该病毒的清除。
3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆网址: http://go.rising.com.cn/来使用下载版产品。
4.打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5.手动清除
该病毒手工清除比较困难,建议使用杀毒软件或专杀工具。
五、安全建议:
1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报,这样才能真正保障计算机的安全。