W32.HLLW.Lovgate.G@mm 是 W32.HLLW.Lovgate.C@mm的变种。 此蠕虫包含大量群发邮件攻击和后门程序功能。此变种在 Windows 95/98/Me 下不能正常工作。为了将自己传播，此蠕虫会试图回应收到的邮件和发送邮件给它在 HTML 文件中找到的邮件地址。发出的邮件会从事先定义好的清单中选取邮件主题和附件内容。附件的扩展名会是 .exe，.pif, 或 .scr。W32.HLLW.Lovgate.G@mm 还会尝试将自己复制到所中本地网络的计算机从而将其感染。

简介(基本信息 注意)

威胁评估(广度 损坏 分发)

活动(复制到自身文件 复制后运行 加入注册键 复制到共享文件 监听 密码确定 其他 建议 手动删除)

简介

基本信息

发现： 2003 年 3 月 24 日

更新： 2007 年 2 月 13 日 11:45:29 AM

别名： WORM_LOVGATE.F [Trend], WORM_LOVGATE.G [Trend], W32/Lovgate.f@M [McAfee], W32/Lovgate.g@M [McAfee], W32/Lovgate-E [Sophos], I-Worm.LovGate.f [KAV], Win32/Lovgate.F.Worm [CA]

类型: Worm

感染长度： 107,008 bytes

受感染的系统： Windows 2000, Windows NT, Windows XP

注意

: 2003 年 3 月 24 日以前的病毒定义会将此威胁确认为 W32.HLLW.Lovgate.C@mm。赛门铁克安全响应已经推出了针对 W32.HLLW.Lovgate.G@mm 的杀毒工具。

防护

* 病毒定义（每周 LiveUpdate™） 2003 年 3 月 25 日

* 病毒定义（智能更新程序） 2003 年 3 月 25 日

威胁评估

广度

* 广度级别： Medium

* 感染数量： 50 - 999

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Difficult

损坏

* 损坏级别： Medium

* 大规模发送电子邮件： Attempts to reply to incoming email messages and to the email addresses that it finds in HTML files

* 危及安全设置： Allows unauthorized access to the infected computer

分发

* 分发级别： High

* 电子邮件的主题： Chosen from a predetermined list

* 附件名称： Chosen from a predetermined list with a .exe, .pif, or .scr file extension

* 附件大小： 107,008 bytes

* 端口： TCP 1092, 20168, 6000

* 共享驱动器： Copies across shared drives

活动

当 W32.HLLW.Lovgate.G@mm 运行时，会有以下活动：

复制到自身文件

以下列之一为文件名将自身复制到 %System% 文件夹：

* Ravmond.exe

* WinGate.exe

* WinDriver.exe

* Winrpc.exe

* Winhelp.exe

* Iexplore.exe

* Kernel66.dll

* NetServices.exe

复制后运行

将下列文件复制到 %System% 文件夹后运行它们：

* Task688.dll

* Ily688.dll

* Reg678.dll

* 111.dll

注意：这些文件是 W32.HLLW.Lovgate.G@mm 的后门特洛伊木马程序部分。赛门铁克防病毒产品将它们识别为W32.HLLW.Lovgate.G@mm。

加入注册键

1. 将下列值：

winhelp %system%\\winhelp.exe

WinGate initialize %system%\\WinGate.exe -remoteshell

Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg

Program in Windows %system%\\iexplore.exe

加入注册键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

这样一来蠕虫会在每次重启 Windows 时运行。

2. 将下列值：

run RAVMOND.EXE

加入注册键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

3. 将下面注册键的默认值：

HKEY_CLASS_ROOT\\txtfile\\shell\\open\\command

改为:

winrpc.exe %1

这样一来蠕虫会在你每次打开一个 .txt 文件时运行。

复制到共享文件

. 将其本身以下列文件名复制到所有的网络共享文件夹及其子文件夹：

* Are you looking for Love.doc.exe

* autoexec.bat

* The world of lovers.txt.exe

* How To Hack Websites.exe

* Panda Titanium Crack.zip.exe

* Mafia Trainer!!!.exe

* 100 free essays school.pif

* AN-YOU-SUCK-IT.txt.pif

* Sex_For_You_Life.JPG.pif

* CloneCD + crack.exe

* Age of empires 2 crack.exe

* MoviezChannelsInstaler.exe

* Star Wars II Movie Full Downloader.exe

* Winrar + crack.exe

* SIMS FullDownloader.zip.exe

* MSN Password Hacker and Stealer.exe

监听

监听 TCP 1092、10168 和 6000 埠上的通讯并用在163.com和 yahoo.com.cn 的电子邮件通知骇客。 此蠕虫有例行密码确认。 在键入正确密码后，蠕虫将为骇客打开命令解释程序。

密码确定

此蠕虫在 1092、10168 埠上有例行密码确认。 在键入正确密码后，蠕虫将为骇客打开命令解释程序。

其他

1. 含有一个不完整的功能，似乎是 6000 埠上后门程序例程的开始。由于程序源代码中的一个错误，此例程可能不会被成功执行。该例程可能会创建纯文本文件 C:\etlog.txt。

2. 试图从 HTML 中收集所有的电子邮件地址，并会试图回复所有 Microsoft Outlook 邮箱收到的邮件。请参见本文的“电子邮件例程详细信息”。

3. 在本地网络上扫描所有计算机，并使用下列密码来试图以 "administrator" (系统管理员）身份登录。

* zxcv

* yxcv

* xxx

* win

* test123

* test

* temp123

* temp

* sybase

* super

* sex

* secret

* pwd

* pw123

* Password

* owner

* oracle

* mypc123

* mypc

* mypass123

* mypass

* love

* login

* Login

* Internet

* home

* godblessyou

* god

* enable

* database

* computer

* alpha

* admin123

* Admin

* abcd

* aaa

* 88888888

* 2600

* 2003

* 2002

* 123asd

* 123abc

* 123456789

* 1234567

* 123123

* 121212

* 11111111

* 110

* 007

* 00000000

* 000000

* pass

* 54321

* 12345

* password

* passwd

* server

* sql

* !@#$%^&*

* !@#$%^&

* !@#$%^

* !@#$%

* asdfgh

* asdf

* !@#$

* 1234

* 111

* root

* abc123

* 12345678

* abcdefg

* abcdef

* abc

* 888888

* 666666

* 111111

* admin

* administrator

* guest

* 654321

* 123456

* 321

* 123

12. 如果蠕虫成功登录到远端计算机，它会将自己复制为：

\\\\<remote computer name>\\admin$\\system32\etservices.exe

然后，它会以 "Microsoft NetWork Services FireWall" 服务的形式打开文件。

13. 创建服务 "Windows Management Instrumentation Driver Extension"，其执行文件 %System32%\\WinDriver.exe。

14. 创建服务 "NetMeeting Remote Desktop (RPC) Sharing"，其执行命令为 "Rundll32.exe task688.dll ondll_server"。

15. 将自己注册为一项服务从而能在用户注销后依旧运行。

16. 将一个后门例程程序作为线程注入 Lsass.exe。该后门程序会在埠1092 监听通讯。

17. 将一个后门例程程序作为线程注入 Lsass.exe。该后门程序会在埠 20168 监听通讯。

18. 将一个“进程察看”程序作为线程注入 Explorer.exe 或 Taskmgr.exe。该远端线程会在蠕虫进程结束时调用 %System32%\\Iexplore.exe。

19. 该蠕虫监视 Explorer.exe 或 Taskmgr.exe 中的远端线程，并在其终止时重新将其注入 Explorer.exe 或 Taskmgr.exe。蠕虫以此套路来保持自己总是处于激活状态。I

20. 以 "I-WORM-NEW-IPC-20168 Running" 为名创建一个互斥来确认蠕虫正在运行，该字符串也可能是 "I-WORM-NEW-IPC-20168"。

电子邮件例程详细信息

有两种电子邮件例程信息：

例程 1

寄出的信息会以下列内容组合：

主题：主题会是下列其中之一：

* Reply to this!

* Let's Laugh

* Last Update

* for you

* Great

* Help

* Attached one Gift for u..

* Hi Dear

* See the attachement

邮件正文：邮件正文会是下列其中之一：

* For further assistance, please contact!

* Copy of your message, including all the headers is attached.

* This is the last cumulative update.

* Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)

* Send reply if you want to be official beta tester.

* This message was created automatically by mail delivery software (Exim).

* It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).

* Adult content!!! Use with parental advisory.

* Patrick Ewing will give Knick fans something to cheer about Friday night.

* Send me your comments...

附件：附件实际上是蠕虫自身的拷贝，附件名会是下列其中之一：

* About_Me.txt.pif

* driver.exe

* Doom3 Preview!!!.exe

* enjoy.exe

* YOU_are_FAT!.TXT.pif

* Source.exe

* Interesting.exe

* README.TXT.pif

* images.pif

* Pics.ZIP.scr

例程 2

寄出的信息会以下列内容组合：

主题：Re: <Original Subject>

邮件正文：

<someone> wrote:

===

> <original message body>

>

===

<original sender> auto-reply:

> Get your FREE <original sender hostname> now! <

If you can keep your head when all about you

Are losing theirs and blaming it on you;

If you can trust yourself when all men doubt you,

But make allowance for their doubting too;

If you can wait and not be tired by waiting,

Or, being lied about,don't deal in lies,

Or, being hated, don't give way to hating,

And yet don't look too good, nor talk too wise;

... ... more look to the attachment.

附件：The attachment, which is a copy of the worm, will be one of the following:

* the hardcore game-.pif

* Sex in Office.rm.scr

* Deutsch BloodPatch!.exe

* s3msong.MP3.pif

* Me_nude.AVI.pif

* How to Crack all gamez.exe

* Macromedia Flash.scr

* SETUP.EXE

* Shakira.zip.exe

* dreamweaver MX (crack).exe

* StarWars2 - CloneAttack.rm.scr

* Industry Giant II.exe

* DSL Modem Uncapper.rar.exe

* joke.pif

* Britney spears nude.exe.txt.exe

* I am For u.doc.exe

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用 W32.HLLW.Lovgate.G@mm 杀毒工具

这是最简单快速的方法。单击这里获取杀毒工具。

手动删除

作为杀毒工具的替代，您也可以依照下列说明手动删除。

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 运行完整的系统扫描，并删除所有检测为W32.HLLW.Lovgate.G@mm 的文件。

3. 撤消蠕虫对注册表所做的更改。

有关每个步骤的详细信息，请阅读以下指导。

1. 更新病毒定义

Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况，这些病毒定义会在 LiveUpdate 服务器上每周发布一次（一般为星期三）。 要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部“防护”部分的病毒定义 (LiveUpdate) 部分。

* 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义会在美国工作日（周一至周五）发布。 您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。 要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）部分。

智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击这里。

2. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品： NAV 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o 赛门铁克企业版防病毒产品： NAV 企业版产品：请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了W32.HLLW.Lovgate.G@mm，请单击“删除”。

3. 撤消蠕虫对注册表所做的更改

警告： Symantec 强烈建议在更改注册表之前先进行备份。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的键。 有关指导请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。 将出现“运行”对话框。）

2. 键入

regedit

然后单击“确认”。（注册表编辑器打开。）

3. 浏览到注册键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除下列值：

winhelp %system%\\winhelp.exe

WinGate initialize %system%\\WinGate.exe -remoteshell

Remote Procedure Call Locator rundll32.exe reg678.dll

Program in Windows %system%\\iexplore.exe

5. 浏览到注册键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows

6. 在右窗格中，删除值：

run RAVMOND.EXE

7. 浏览到注册键：

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

8. 在右窗格中，双击默认值。

9. 删除当前值，代之以适合你 Windows 版本的正确值。

注意：这个值可依 Windows 版本，并且在某些系统上依据安装路径不同而不同。 你需要到另外一台设置相同并工作正常的计算机察看后输入这个值。一般的情况是：

* Windows 98: C:\\Windows\otepad.exe %

* Windows NT and 2000: %SystemRoot%\\system32\OTEPAD.EXE %1

10. 退出注册表编辑器。

描述者： Eric Chien