请输入您要查询的百科知识:

 

词条 Win32.Lovgate.H
释义

§ 病毒名称

Win32.Lovgate.H

§ 其它名称

W32.HLLW.Lovgate.G@mm

§ 病毒属性

蠕虫病毒 危害性:中等危害 流行程度:中

§ 具体介绍

Lovgate.H是一种通过电子邮件以及网络共享传播的蠕虫病毒。蠕虫对Windows 9x的操作系统不起作用。

运行时,蠕虫以下面这些文件名拷贝自己的副本到系统目录下:

RAVMOND.EXE

WINHELP.EXE

WINGATE.EXE

IEXPLORE.EXE

WINDRIVER.EXE

WINRPC.EXE

KERNEL66.DLL (隐藏文件)

蠕虫文件的大小为107,008字节。

蠕虫会以"winrpc.exe %1"替换原来注册表中HKCR\\txtfile\\shell\\open\\command下的键值,以便用户一打开文本文件蠕虫就被自动调用。

蠕虫还修改下面2个注册表键值,以便Windows一启动蠕虫就自动运行:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows,

"Programs"="com exe bat pif cmd"

"run" = "RAVMOND.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run,

"WinHelp" = "C:\\WINNT\\System32\\WinHelp.exe"

"WinGate initialize" = "C:\\WINNT\\System32\\WinGate.exe -remoteshell"

"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"

"Program In Windows" = "C:\\WINNT\\System32\\IEXPLORE.EXE"

Lovgate.H 可以将自身注册为一个服务:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Management Instrumentation Driver Extension

"ImagePath" = "%SYSTEM\\WinDriver.exe - start_server"

蠕虫通过邮件传播,但有两种不同的方式。第一种是使用MAPI来回复用户收件夹中的邮件,这些看起来像正式的回复邮件,都引用原文,并有下列这些特征:(【 】符号中的是可变的)

主题:

Re: 【original subject】

正文:

'【recipient name】' wrote:

====

>

【Original message (each line prefixed with">")】

====

> Get your FREE 【recipient domain】 account now! <

蠕虫只引用原文的前512字节内容,如果原始邮件的内容多于512字节,那其他将以。。。。表示。

附件:名称随机

第2种方式则是蠕虫直接使用SMTP服务器发送带毒邮件。蠕虫会搜索"我的文档"中的所有.htm文件,找出目标邮件地址。

蠕虫利用ipc进行guest和Administrator账号的多个简单密码试探。如果成功,蠕虫会以NetServices.exe为文件名拷贝自己到远程计算机的系统目录下,并创建一个服务"Microsoft NetWork FireWall Services"。蠕虫还会生成一个自己的副本文件,而文件名则是下面中的一个:

"MSN Password Hacker and Stealer.exe"

"SIMS FullDownloader.zip.exe"

"Winrar + crack.exe"

。。。。。。。

"The world of lovers.txt.exe"

"autoexec.bat"

"Are you looking for Love.doc.exe"

蠕虫会把自身的木马功能部分解压缩到一个DLL库文件中,以便以此木马以一个单独程序来运行。下面这4个DLL文件的大小都为81,920字节:

reg678.dll

Task688.dll

111.dll

ily668.dll.

蠕虫会监听TCP端口20168。而木马的DLL库文件会在下面这两个地方注册为一个服务:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ll_reg,

"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etMeeting Remote Desktop (RPC) Sharing,

"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

蠕虫可以通过在注册表的Run下添加键值,调用木马DLL库文件,从而可以创建/开始/删除下面这两个服务:"Remote Procedure Call Locator" 、"NetMeeting Remote Desktop (RPC) Sharing",蠕虫还会将自己注入到lsass进程中。

蠕虫运行后,每隔一段时间就发送邮件给位于163.com的一个信箱。邮件的内容为中毒电脑的ip地址,而不名身份的使用者就会利用木马程序进行控制。

随便看

 

百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/20 4:37:23