“Worm_Lovgate.AD”的意思、由来-中文百科全书

百科定义

病毒名称："爱之门"病毒变种（Worm_Lovgate.AD）

病毒种类：蠕虫

感染系统：Windows 95/98/Me/NT/2000/XP

病毒长度：152,064字节

病毒特性

1、生成病毒文件

在%Windows%文件夹下生成：SVCHOST.EXE和SYSTRA.EXE。

在%system%文件夹下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。

在C盘根目录下生成：AUTORUN.INF和COMMAND.EXE。

2、修改注册表

病毒在注册表中添加以下项目，使得自身能够作为服务运行：

在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion

\\RunServices下添加SystemTra = "C:\\Windows\\SysTra.EXE"

COM++ System = "svchost.exe"

病毒在注册表中添加以下项目，使得自身能够随系统启动而自动运行，

在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows下添加run = "RAVMOND.exe"

WinHelp = "C:\\Windows\\System32\\TkBellExe.exe"

Hardware Profile = "C:\\Windows\\System32\\hxdef.exe"

VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe

Program In Windows = "C:\\Windows\\System32\\IEXPLORE.EXE"

Shell Extension = "C:\\Windows\\System32\\spollsv.exe"

Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

病毒修改以下注册表项目，这样一来，用户在运行.txt文本文件的时候，实际上就是在运行病毒拷贝：

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

default = "Update_OB.exe %1"（原始数值为%SystemRoot%\\system32\OTEPAD.EXE %1）

HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command

default = "Update_OB.exe %1"（原始数值为%SystemRoot%\\system32\OTEPAD.EXE %1）

3、修改文件

病毒修改文件AUTORUN.INF

[AUTORUN]Open="c:\\COMMAND.EXE" /StartExplorer

传播方式

通过电子邮件进行传播

（1）病毒搜索系统邮箱，回复找到的电子邮件，并将病毒作为附件进行传播。

标题：Re: <邮件原始主题>

附件：存在多种形式，扩展名为.exe、.pif、.scrsong.MP3.pif

（2）病毒从下列扩展名的文件中搜索邮件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向这些地址发送带毒的电子邮件。

病毒邮件特征如下：

发件人：

%病毒体内选取的特定字符%.aol.com

%病毒体内选取的特定字符%.hotmail.com

%病毒体内选取的特定字符%.msn.com

%病毒体内选取的特定字符%.yahoo.com

标题：<为下列之一>

hello

Mail Delivery System

Mail Transaction Failed

内容：<可变>

附件：

文件名为body、data、doc、document、file、message、readme、test、text或zge，扩展名为BAT、EXE、PIF、SCR或ZIP。

病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件，这些字符串多与反病毒以及计算机安全相关。

通过网络传播

病毒会在Windows文件夹下创建一个名为“Media”的共享文件夹，并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机，尝试通过密码探测进入 “Admin$”共享进行传播，一旦登录成功，病毒会在远程计算机的“Admin$\\System32”文件夹中生成自身拷贝，名称为“NETMANAGER.EXE”。

词条	Worm_Lovgate.AD
释义	Worm_Lovgate.AD，"爱之门"病毒变种，是一种蠕虫病毒。病毒会将大量可执行文件替换成病毒副本文件，并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。百科定义病毒特性传播方式(通过电子邮件进行传播通过网络传播) 百科定义病毒名称："爱之门"病毒变种（Worm_Lovgate.AD）病毒种类：蠕虫感染系统：Windows 95/98/Me/NT/2000/XP 病毒长度：152,064字节病毒特性 1、生成病毒文件在%Windows%文件夹下生成：SVCHOST.EXE和SYSTRA.EXE。在%system%文件夹下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盘根目录下生成：AUTORUN.INF和COMMAND.EXE。 2、修改注册表病毒在注册表中添加以下项目，使得自身能够作为服务运行：在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\RunServices下添加SystemTra = "C:\\Windows\\SysTra.EXE" COM++ System = "svchost.exe" 病毒在注册表中添加以下项目，使得自身能够随系统启动而自动运行，在HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows下添加run = "RAVMOND.exe" WinHelp = "C:\\Windows\\System32\\TkBellExe.exe" Hardware Profile = "C:\\Windows\\System32\\hxdef.exe" VFW Encoder/Decoder Settings = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg" Microsoft NetMeeting Associates, Inc. = "NetMeeting.exe Program In Windows = "C:\\Windows\\System32\\IEXPLORE.EXE" Shell Extension = "C:\\Windows\\System32\\spollsv.exe" Protected Storage = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg" 病毒修改以下注册表项目，这样一来，用户在运行.txt文本文件的时候，实际上就是在运行病毒拷贝： HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command default = "Update_OB.exe %1"（原始数值为%SystemRoot%\\system32\OTEPAD.EXE %1） HKEY_LOCAL_MACHINE\\Software\\Classes\\txtfile\\shell\\open\\command default = "Update_OB.exe %1"（原始数值为%SystemRoot%\\system32\OTEPAD.EXE %1） 3、修改文件病毒修改文件AUTORUN.INF [AUTORUN]Open="c:\\COMMAND.EXE" /StartExplorer 传播方式通过电子邮件进行传播（1）病毒搜索系统邮箱，回复找到的电子邮件，并将病毒作为附件进行传播。标题：Re: <邮件原始主题> 附件：存在多种形式，扩展名为.exe、.pif、.scrsong.MP3.pif （2）病毒从下列扩展名的文件中搜索邮件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向这些地址发送带毒的电子邮件。病毒邮件特征如下：发件人： %病毒体内选取的特定字符%.aol.com %病毒体内选取的特定字符%.hotmail.com %病毒体内选取的特定字符%.msn.com %病毒体内选取的特定字符%.yahoo.com 标题：<为下列之一> hi hello Mail Delivery System Mail Transaction Failed 内容：<可变> 附件：文件名为body、data、doc、document、file、message、readme、test、text或zge，扩展名为BAT、EXE、PIF、SCR或ZIP。病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件，这些字符串多与反病毒以及计算机安全相关。通过网络传播病毒会在Windows文件夹下创建一个名为“Media”的共享文件夹，并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机，尝试通过密码探测进入 “Admin$”共享进行传播，一旦登录成功，病毒会在远程计算机的“Admin$\\System32”文件夹中生成自身拷贝，名称为“NETMANAGER.EXE”。
随便看	傥朗傥论傥然傥言傥佯傥傥傥阆傧尔笾豆傩鼓傩舞之乡傩雨傩愿舞僖康王僖山汉画像石墓僖姓儆报儆导儆动儆急儆鉴儆居学派儆惧儆励儆切儆守