§ 病毒名称

Win32.Lovgate.H

§ 其它名称

W32.HLLW.Lovgate.G@mm

§ 病毒属性

蠕虫病毒　危害性：中等危害　流行程度：中

§ 具体介绍

Lovgate.H是一种通过电子邮件以及网络共享传播的蠕虫病毒。蠕虫对Windows 9x的操作系统不起作用。

运行时，蠕虫以下面这些文件名拷贝自己的副本到系统目录下：

RAVMOND.EXE

WINHELP.EXE

WINGATE.EXE

IEXPLORE.EXE

WINDRIVER.EXE

WINRPC.EXE

KERNEL66.DLL （隐藏文件）

蠕虫文件的大小为107,008字节。

蠕虫会以"winrpc.exe %1"替换原来注册表中HKCR\\txtfile\\shell\\open\\command下的键值，以便用户一打开文本文件蠕虫就被自动调用。

蠕虫还修改下面2个注册表键值，以便Windows一启动蠕虫就自动运行：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows,

"Programs"="com exe bat pif cmd"

"run" = "RAVMOND.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run,

"WinHelp" = "C:\\WINNT\\System32\\WinHelp.exe"

"WinGate initialize" = "C:\\WINNT\\System32\\WinGate.exe -remoteshell"

"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"

"Program In Windows" = "C:\\WINNT\\System32\\IEXPLORE.EXE"

Lovgate.H 可以将自身注册为一个服务：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Management Instrumentation Driver Extension

"ImagePath" = "%SYSTEM\\WinDriver.exe - start_server"

蠕虫通过邮件传播，但有两种不同的方式。第一种是使用MAPI来回复用户收件夹中的邮件，这些看起来像正式的回复邮件，都引用原文，并有下列这些特征：（【 】符号中的是可变的）

主题：

Re: 【original subject】

正文：

'【recipient name】' wrote:

====

>

【Original message (each line prefixed with">")】

====

> Get your FREE 【recipient domain】 account now! <

蠕虫只引用原文的前512字节内容，如果原始邮件的内容多于512字节，那其他将以。。。。表示。

附件：名称随机

第2种方式则是蠕虫直接使用SMTP服务器发送带毒邮件。蠕虫会搜索"我的文档"中的所有.htm文件，找出目标邮件地址。

蠕虫利用ipc进行guest和Administrator账号的多个简单密码试探。如果成功，蠕虫会以NetServices.exe为文件名拷贝自己到远程计算机的系统目录下，并创建一个服务"Microsoft NetWork FireWall Services"。蠕虫还会生成一个自己的副本文件，而文件名则是下面中的一个：

"MSN Password Hacker and Stealer.exe"

"SIMS FullDownloader.zip.exe"

"Winrar + crack.exe"

。。。。。。。

"The world of lovers.txt.exe"

"autoexec.bat"

"Are you looking for Love.doc.exe"

蠕虫会把自身的木马功能部分解压缩到一个DLL库文件中，以便以此木马以一个单独程序来运行。下面这4个DLL文件的大小都为81,920字节：

reg678.dll

Task688.dll

111.dll

ily668.dll.

蠕虫会监听TCP端口20168。而木马的DLL库文件会在下面这两个地方注册为一个服务：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ll_reg,

"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etMeeting Remote Desktop (RPC) Sharing,

"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

蠕虫可以通过在注册表的Run下添加键值，调用木马DLL库文件，从而可以创建/开始/删除下面这两个服务："Remote Procedure Call Locator" 、"NetMeeting Remote Desktop (RPC) Sharing"，蠕虫还会将自己注入到lsass进程中。

蠕虫运行后，每隔一段时间就发送邮件给位于163.com的一个信箱。邮件的内容为中毒电脑的ip地址，而不名身份的使用者就会利用木马程序进行控制。

• 打道子
• 打配
• 打酒坐
• 打醉眼子
• 打醋炭
• 打野眼
• 打野鸡
• 打野鸭子
• 打金砖
• 打钩
• 打钱
• 打铁节
• 打铁花
• 打铺
• 打销
• 打镲
• 打长
• 打问
• 打闲
• 打闷棍
• 打闹
• 打降
• 打雀英雄传
• 打雀英雄传2
• 打雪仗