反饋

Worm.LovGate.v

愛情後門變種V(Worm.LovGate.v)病毒依賴系統：WINDOWS9X/NT/2000/XP，發現日期：2004年3月11日，病毒將在系統中殖入遠程後門代碼，該代碼將響應遠程惡意用户tcp請求方建一個遠程shell進程。（windows9x為command.com，WindowsNT,Windows2000,WindowsXP為cmd.exe），可以對本地機器進行完全控制。釋放通過QQ傳播的病毒：“Worm.LovGate.v.QQ”該病毒通過發送誘惑信息導致用户上當，從而中毒，詳情請參考該病毒報告。

中文名: 愛情後門變種V
外文名: Worm.LovGate.v

內容分類: 蠕蟲病毒
知識庫編號: RSV0512258
適用操作系統: Windows 操作系統

Worm.LovGate.v病毒簡介

愛情後門變種V(Worm.LovGate.v)病毒檔案

關鍵詞：愛情後門;Worm.Lovgate.V

適用操作系統補丁版本：全部補丁適用

愛情後門變種V(Worm.LovGate.v)病毒檔案及解決方案。

病毒評估

病毒大小：124,928 字節

病毒危險等級：★★★★

發現日期：2004年3月11日

病毒傳播途徑：網絡/郵件

病毒依賴系統：WINDOWS9X/NT/2000/XP

Worm.LovGate.v破壞

1．釋放後門病毒

病毒將在系統中殖入遠程後門代碼，該代碼將響應遠程惡意用户tcp請求方建一個遠程shell進程。（windows9x，WindowsNT,Windows2000,WindowsXP為cmd.exe），可以對本地機器進行完全控制。

2. 釋放通過QQ傳播的病毒：“Worm.LovGate.v.QQ”

該病毒通過發送誘惑信息導致用户上當，從而中毒，詳情請參考該病毒報告。

病毒報告

該病毒是蠕蟲病毒"愛情後門"的新變種,是一個集蠕蟲、後門一身的病毒，採用VC++編寫，多層壓縮。一旦運行，病毒將執行以下操作：

1.自我複製到系統目錄，相關文件名為：

%SYSDIR%\IEXPLORE.EXE

%SYSDIR%\kernel66.dll

%SYSDIR%\RAVMOND.exe

%SYSDIR%\SysBoot.EXE

%SYSDIR%\WinDriver.exe

%SYSDIR%\winexe.exe

%SYSDIR%\WinGate.exe

%SYSDIR%\WinHelp.exe

同時也在每一個硬盤和可移動驅動器根目錄下複製自己：

%DRIVER%\SysBoot.exe

2.病毒將釋放一個DLL文件，此文件將在系統中殖入遠程後門代碼，相關文件名為：

%SYSDIR%\reg678.dll

%SYSDIR%\Task688.dll

該代碼將響應遠程惡意用户tcp請求建方一個遠程shell進程。（windows9x，WindowsNT,Windows2000,WindowsXP為cmd.exe），可以對本地機器進行完全控制。

3.病毒將釋放一個利用QQ發送消息傳播的病毒：“Worm.LovGate.v.QQ”，相關文件名目錄為：

%SYSDIR%internet.exe

%SYSDIR%svch0st.exe

詳細報告請查閲該病毒報告。

4.病毒將修改註冊表的如下鍵值<病毒自啓動的伎倆>：

HKEY_CLASSES_ROOT\exefile\shell\open\command

?(默認) : %SYSDIR%\WINEXE.EXE "%1" %*

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"WinGate initialize" = "%SYSDIR%\WINGATE.EXE? -REMOTESHELL"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"WinHelp" = "%SYSDIR%\WINHELP.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Remote Procedure Call Locator" = "RUNDLL32.EXE REG678.DLL? ONDLL_REG"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Program In Windows" = "%SYSDIR%\IEXPLORE.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices

"SystemTra" = "%WINDIR%\SYSTRA.EXE /SYSTRA:KERNEL32.DLL"

在windows9x下還修改系統文件：

WIN.INI

[WINDOWS]

"RUN" = "RAVMOND.EXE"

在windows2000、WindowsNT、WindowsXP下注冊服務：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg

Display Name = "ll_reg? "

IMAGEPATH = "RUNDLL32.EXE TASK688.DLL ONDLL_SERVER"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension

Display Name = "Windows Management Instrumentation Driver Extension"

IMAGEPATH = "%SYSTEM%\WINDRIVER.EXE -START_SERVER"

病毒也將在每一個硬盤和可移動盤的根目錄下建立一個文件：AUTORUN.INF的文件，內容為：

[AUTORUN]

Open="%DRIVER%:\SysBoot.EXE" /StartExplorer

其中%DRIVER%為相應的驅動器。

這樣在用户打開該驅動器後將運行病毒。

5.病毒的破壞功能：

Windows弱口令密碼試探攻擊、放出後門程序、盜取密碼。

6.局域網傳播：

病毒窮舉網絡資源，並將自己複製過去，文件名為隨機的選取。

7.郵件傳播

病毒利用mapi及搜出的email地址，對收信箱裏的郵件進行回覆（傳播）。

郵件標題隨機從病毒體內選出

當病毒被運行後每隔一定時間發送一次通知郵件給位於網易的一個信箱,郵件內容為中毒系統的ip地址，以便利用病毒的後門進行控制。

Worm.LovGate.v解決方案

1、瑞星殺毒軟件16.17.20版本可以徹底查殺此病毒，瑞星軟件用户升級到最新版攔截此病毒。

2、使用專殺工具

鑑於該病毒的危害性比較嚴重，瑞星公司還為手中暫時沒有殺毒軟件的用户提供了免費的病毒專殺工具，用户可以到：網絡進行免費下載，並進行該病毒的清除。

該病毒手工清除比較困難，建議使用殺毒軟件或專殺工具。

詞條統計

瀏覽次數：次
編輯次數：18次歷史版本
最近更新：拦截你的捣蛋鬼（2023-05-22）

1 病毒簡介
2 破壞
3 解決方案