简介

系统修改:

发作现象:

简介

病毒别名：W32.Lovgate.X@mm[Norton]

处理时间：

威胁级别：★★★

中文名称：恶邮差变种AD

病毒类型：蠕虫

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

恶邮差

编写工具:Microsoft Visual C++ 6.0

传染条件:通过邮件传播

发作条件:用户误运行，或系统密码过于简单

系统修改:

A、1、木马运行后会将自身复制到系统目录下：

%SystemRoot%SYSTRA.EXE

%System%hxdef.exe

%System%IEXPLORE.EXE

%System%RAVMOND.exe

%System%

ealsched.exe

%System%vptray.exe

%System%kernel66.dll

2、在系统安装目录中生成

%System%ODBCdll

%System%msjdbc11.dll

%System%MSSIGN30.DLL

%System%LMMIB20.DLL

%System%NetMeeting.exe

%Windir%suchost.exe

%System%spollsv.exe

3、在每个盘符下生成如下两个文件

AUTORUN.INF

COMMAND.EXE

使用户一双击盘符即会中毒

B、1、在注册表主键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"WinHelp"="%SYSTEM%"

ealsched.exe"

"Hardware Profile" ="%SYSTEM%"hxdef.exe"

"Mircorsoft NetMeeting Associates, Inc."="NetMeeting.exe"

"Program In Windows"="%system%IEXPLORE.EXE"

"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"

"Shell Extension"="%system%spollsv.exe"

2、对注册表主键：

HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand

修改如下键值

"默认"="vptray.exe %1"

3、在注册表主键

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

unServices

下添加如下键值：

"SystemTra"="%Windor%SysTra.EXE"

"COM++ System"="suchost.exe"

4、对于win98/me系统 会对%system%win.ini文件内添加如下内容：

run=%System%RAVMOND.exe

C、会创建一个名为 "Windows Management Protocol v.0 (experimental)"和"_reg"的两个服务，服务对应的病毒文件为msjdbc11.dll 和ondll_server。

D、随机开启一个端口，作为后门。

E、收集系统信息，存为C:NETLOG.TXT，每行均以NETDI做为开头

F、复制自身到所有共享目录中，文件名可能是以下之一：

WinRAR.exe

Internet Explorer.bat

Documents and Settings.txt.exe

Microsoft Office.exe

Windows Media Player.zip.exe

Support Tools.exe

WindowsUpdate.pif

Cain.pif

MSDN.ZIP.pif

autoexec.bat

findpass.exe

client.exe

i386.exe

winhlp32.exe

xcopy.exe

mmc.exe

G、会释放一个名为suchost.exe文件用于将病毒体和EXE文件进行捆绑。互斥量为：I090909!

发作现象:

A、如果杀毒软件进程存在，则中止以下进程：

KV

KAV

Duba

NAV

kill

RavMon.exe

Rfw.exe

Gate

McAfee

Symantec

SkyNet

rising

B、对网络上的计算机的管理员密码，进行弱密码攻击：弱密码如下：

Guest

Administrator

zxcv

yxcv

xxx

win

test123

test

temp123

temp

sybase

super

sex

secret

pwd

pw123

Password

owner

oracle

mypc123

mypc

mypass123

mypass

love

login

Login

Internet

home

godblessyou

god

enable

database

computer

alpha

admin123

Admin

abcd

aaa

88888888

2600

2004

2003

123asd

123abc

123456789

1234567

123123

121212

11111111

110

007

00000000

000000

pass

54321

12345

password

passwd

server

sql

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

1234

111

root

abc123

12345678

abcdefg

abcdef

abc

888888

666666

111111

admin

administrator

guest

654321

123456

321

123

如果攻击成功的话，则病毒感染这台机器。

C、搜索邮件列表，并试图发电子邮件，电子邮件的附件一般名为：

the hardcore game-.pif

Sex in Office.rm.scr

Deutsch BloodPatch!.exe

s3msong.MP3.pif

Me_nude.AVI.pif

How to Crack all gamez.exe

Macromedia Flash.scr

SETUP.EXE

Shakira.zip.exe

dreamweaver MX (crack).exe

StarWars2 - CloneAttack.rm.scr

Industry Giant II.exe

DSL Modem Uncapper.rar.exe

joke.pif

Britney spears nude.exe.txt.exe

I am For u.doc.exe

D、在所有目录中搜索后缀名为如下的的文件

.htm

.sht

.php

.asp

.dbx

.tbb

.adb

.wab

从中找到邮件地址，并用自己的邮件系统发送邮件

特别说明: