您现在的位置: 首页 > 病毒库 > 蠕虫病毒
Win32.Lovgate.H
发布时间:2004-12-27 18:43:00
病毒名称:Win32.Lovgate.H
其它名称:W32.HLLW.Lovgate.G@mm
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:

  Lovgate.H是一种通过电子邮件以及网络共享传播的蠕虫病毒。蠕虫对Windows 9x的操作系统不起作用。

  运行时,蠕虫以下面这些文件名拷贝自己的副本到系统目录下:

RAVMOND.EXE
WINHELP.EXE
WINGATE.EXE
IEXPLORE.EXE
WINDRIVER.EXE
WINRPC.EXE
KERNEL66.DLL (隐藏文件)

  蠕虫文件的大小为107,008字节。

  蠕虫会以"winrpc.exe %1"替换原来注册表中HKCR\txtfile\shell\open\command下的键值,以便用户一打开文本文件蠕虫就被自动调用。

  蠕虫还修改下面2个注册表键值,以便Windows一启动蠕虫就自动运行:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,
"Programs"="com exe bat pif cmd"
"run" = "RAVMOND.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
"WinHelp" = "C:\WINNT\System32\WinHelp.exe"
"WinGate initialize" = "C:\WINNT\System32\WinGate.exe -remoteshell"
"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"
"Program In Windows" = "C:\WINNT\System32\IEXPLORE.EXE"

  Lovgate.H 可以将自身注册为一个服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Instrumentation Driver Extension
"ImagePath" = "%SYSTEM\WinDriver.exe - start_server"

  蠕虫通过邮件传播,但有两种不同的方式。第一种是使用MAPI来回复用户收件夹中的邮件,这些看起来像正式的回复邮件,都引用原文,并有下列这些特征:([ ]符号中的是可变的)

主题:
Re: [original subject]

正文:
'[recipient name]' wrote:
====
>
[Original message (each line prefixed with">")]
====


> Get your FREE [recipient domain] account now! <

  蠕虫只引用原文的前512字节内容,如果原始邮件的内容多于512字节,那其他将以。。。。表示。

附件:名称随机

  第2种方式则是蠕虫直接使用SMTP服务器发送带毒邮件。蠕虫会搜索"我的文档"中的所有.htm文件,找出目标邮件地址。

  蠕虫利用ipc进行guest和Administrator账号的多个简单密码试探。如果成功,蠕虫会以NetServices.exe为文件名拷贝自己到远程计算机的系统目录下,并创建一个服务"Microsoft NetWork FireWall Services"。蠕虫还会生成一个自己的副本文件,而文件名则是下面中的一个:

"MSN Password Hacker and Stealer.exe"
"SIMS FullDownloader.zip.exe"
"Winrar + crack.exe"
。。。。。。。
"The world of lovers.txt.exe"
"autoexec.bat"
"Are you looking for Love.doc.exe"

  蠕虫会把自身的木马功能部分解压缩到一个DLL库文件中,以便以此木马以一个单独程序来运行。下面这4个DLL文件的大小都为81,920字节:

reg678.dll
Task688.dll
111.dll
ily668.dll.

  蠕虫会监听TCP端口20168。而木马的DLL库文件会在下面这两个地方注册为一个服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,
"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting Remote Desktop (RPC) Sharing,
"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

  蠕虫可以通过在注册表的Run下添加键值,调用木马DLL库文件,从而可以创建/开始/删除下面这两个服务:"Remote Procedure Call Locator" 、"NetMeeting Remote Desktop (RPC) Sharing",蠕虫还会将自己注入到lsass进程中。

  蠕虫运行后,每隔一段时间就发送邮件给位于163.com的一个信箱。邮件的内容为中毒电脑的ip地址,而不名身份的使用者就会利用木马程序进行控制。

清除:

kill版本: