病毒名
|
Win32.Lovgate.AS
|
别名
|
I-Worm.LovGate.ai (Kaspersky), W32/Lovgate.aj@MM(McAfee),
Win32/Lovgate.AS.172776.Worm
|
种类
|
Win32
|
类型
|
蠕虫
|
传播性
|
低
|
破坏性
|
高
|
普及度
|
高
|
病毒特征
|
Lovgate.AS 是通过邮件,网络共享,微软RPCSS漏洞(MS03-039)和Kazaa网络共享文件夹进行传播的蠕虫病毒。可能被分类保存在文档文件中 并可能表现为一个伴随病毒。病毒是大小为172,776字节的ASP 和JDP Win32可执行文件。
|
检测/清除
|
KILL安全胄甲
inoculateIT v23.65.81 vet 11.x/8450 版可检测/清除此病毒。
|
感染方式
|
Lovgate.AS传播有多种传播途径。依靠这些传播途径,在执行时,病毒拷贝自己到一个或多个下列场所中:
%System%\WinHelp.exe;%System%\hxdef.exe;%System%\RAVMOND.exe;%System%\IEXPLORE.EXE;%System%\kernel66.exe - ;%Windows%\SYSTRA.EXE;
它通常也留在下列文件中:
%System%\ODBC16.dll;%System%\msjdbc11.dll; %System%\MSSIGN30.DLL;%System%\Netmeeting.exe;%System%\internet.exe;%System%\win32vxd.dl;%Windows%\DRWTSN16.EXE
注释:'%System%'
和'%Windows%'是可变的场所。蠕虫根据被感染机器的操作系统决定当前的系统文件夹。默认情况下,
WIN2000和NT的安装位置是C:\WINNT\SYSTEM32
;95,98和ME的是c:\windows\system;xp的是c:\windows\systm32.
病毒会修改注册键值以确保每次系统运行时有病毒的副本运行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinHelp
= WinHelp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Hardware
Profile = %System%\hxdef.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VFW
Encoder/Decoder Settings = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
Netmeeting Associates, Inc. = Netmeeting.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network
Associates, Inc. = internet.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\COM+
Event System = DRWTSN16.EXE
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\SystemTra
= %Windows%\SysTra.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\S0undMan
= %System%\svch0st.exe
HKCU\Software\Microsoft\Windows
NT\CurrentVersion\Windows\run = "RAVMOND.exe"
最后它会在98系统中修改下列win.ini文件:
[WINDOWS]
run = ravmond.exe
当上述的DLL在启动的时候被加载,%System%\ODBC16.dll被加入到下面列表中的第一次运行的进程的进程空间:
cisvc.exe;clipsrv.exe;csrss.exe;dfssvc.exe;dmadmin.exe;dns.exe;explorer.exe;faxsvc.exe;grovel.exe;inetinfo.exe;internat.exe;ismserv.exe;llssrv.exe;locator.exe;lsass.exe;lserver.exe;MAPISP32.EXE ;mmc.exe;mnmsrvc.exe;msdtc.exe;msiexec.exe;mstask.exe;netdde.exe;ntfrs.exe;regsvc.exe;RsEng.exe;RsFsa.exe;RsSub.exe;rsvp.exe;SCardSvr.exe;services.exe;smlogsvc.exe;smss.exe;snmp.exe;snmptrap.exe;SPOOLSV.EXE;svchost.exe;tcpsvcs.exe;termsrv.exe;tftpd.exe;tlntsvr.exe;ups.exe;UtilMan.exe;winlogon.exe;wins.exe
Lovgate.AS会创造下列服务:
- Windows
Management NetWork Service Extensions
- Windows
Management Protocol v.0 (experimental) which runs: Rundll32.exe msjdbc11.dll ondll_server
当执行%System%\Netmeeting.exe时,它拷贝自己到%System%\spollsv.exe并添加下列注册键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Shell Extension =
%System%\spollsv.exe
Lovgate.AS在Explorer.exe创建远程控制来保持病毒进行传播,安装完毕再停止。
病毒创建下列,确保蠕虫在不同的阶段任何时间只有一个病毒的副本在运行,会导致以下的结果:
- gggggg_v10101010
- I090909!
|
传播方式
|
病毒会尝试用两种不同的方法去感染文件。第一蠕虫会搜索从C盘到Z盘,如果硬盘是移动的,远程的或固定的,病毒通过它们的目录和可执行文件文件来感染。蠕虫利用'.ZMX,
扩展名在相同的位置通过制作一个副本来保存原始文件. 在系统目录中文件属性为隐藏和只读,原始文件已被覆盖, 同时这个原始文件依然存在,所有尝试执行它的结果都被运行病毒替代。
'drwatson16'留下寄生病毒,这个寄生的组成部分是从C -Z盘搜索 .exe的感染文件,然而,由于病毒代码漏洞,这个传染机制失败。
通过网络驱动器传播
病毒不断的列举网络驱动器,拷贝他自己到资源管理器,目录在资源管理器上,使用下列文件名:
WinRAR.exe;Internet Explorer.bat;Documents
and Settings.txt.exe;Microsoft
Office.exe;Windows Media Player.zip.exe;Support
Tools.exe;WindowsUpdate.pif;Cain.pif;MSDN.ZIP.pif;autoexec.bat;findpass.exe;client.exe;i386.exe;winhlp32.exe;xcopy.exe;mmc.exe
%Windows%\Media 是病毒的共享目录。它创建自己的副本到上列名称的目录中。病毒的副本是不隐藏的。
Lovgate通常拷贝自己到驱动器\cdrom.com,他创建一个包含下列Autorun.inf文件:
[AUTORUN]
Open="\command.exe"
/StartExplorer
病毒执行是,它会随时观察资源管理器中的驱动器。
通过破译的口令传播
病毒会尝试使用GUEST或者Administrator权限来访问ipc$,admin$这些默认共享。以下密码被用来破解ADMIN和GUESS用户:
!@#$;!@#$%;!@#$%^;!@#$%^&;!@#$%^&*;0 ;000000;00000000;007;1;110;111;111111;11111111;12;121212;123;123123;1234;12345;123456;1234567;12345678;123456789;123abc;123asd;2002;2003;2600;321;54321;654321;666666;888888;88888888;a;aaa;abc;abc123;abcd;abcdef;abcdefg;admin;Admin;admin123;administrator;alpha;asdf;asdfgh;computer;database;enable;god;godblessyou;guest;home;Internet;Login;login;love;mypass;mypass123;mypc;mypc123;oracle;owner;pass;passwd;password;Password;pc;pw;pw123;pwd;root;secret;server;sex;sql;super;sybase;temp;temp123;test;test123;win;xp;xxx;yxcv;zxcv
如果顺利的连接上,它会拷贝自己到远程计算机的系统目录的Netmeeting.exe
。并且在远端系统目录创建" Windows Management NetWork Service Extensions "服务。
通过邮件传播:
病毒通过两种途径来发送邮件。第一是通过油箱管理员MAPI回答信息。这些回复信息看起来很像正常回复。他们引用的信息有下列的版本:
Subject:
Re: [original subject]
Body:
'[recipient name]' wrote:
====
>
[Original message (each line prefixed with ">")]
====
[recipient domain] account
auto-reply:
If you can keep
your head when all about you
Are losing theirs
and blaming it on you;
If you can trust
yourself when all men doubt you,
But make
allowance for their doubting too;
If you can wait
and not be tired by waiting,
Or, being lied
about,don't deal in lies,
Or, being hated,
don't give way to hating,
And yet don't
look too good, nor talk too wise;
... ...
more look to the attachment.
>
Get your FREE [recipient domain] account now! <
病毒只引用512字符来回复消息。如果消息超过512字符,他引用"
...'"添加:
附件:
"I am For
u.doc.exe"
"Britney spears nude.exe.txt.exe"
"joke.pif"
"DSL Modem Uncapper.rar.exe"
"Industry Giant II.exe"
"StarWars2 - CloneAttack.rm.scr"
"dreamweaver MX (crack).exe"
"Shakira.zip.exe"
"SETUP.EXE"
"Macromedia Flash.scr"
"How to Crack all gamez.exe"
"Me_nude.AVI.pif"
"s3msong.MP3.pif"
"Deutsch BloodPatch!.exe"
"Sex in Office.rm.scr"
"the hardcore game-.pif"
当病毒用这种方法时,Outlook Express 用户可能看到下列对话框:
病毒通常会从当地的系统文件内搜索邮件地址。它会搜索下列扩展名的文件:
htm;sht;php;asp;dbx;tbb;adb;wab
可以避免的邮箱地址域包括下列:
.gov;.mil;accoun;acketst;admin;arin.;avp;borlan;bsd;bsd;certific;example;fido;foo.;fsf.;gnu;google;google;gov.;hotmail;iana;ibm.com;icrosof;icrosoft;ietf;inpris;isc.o;isi.e;kernel;linux;linux;listserv;math;mit.e;mozilla;msn.;mydomai;nodomai;ntivi;panda;pgp;rfc-ed;ripe.;ruslis;secur;sendmail;sopho;support;syma;tanford.e;unix;usenet;utgers.ed
邮件地址名称包含下列:
anyone;bugs;ca;contact;feste;gold-certs;help;info;me;no;nobody;noone;not;nothing; |
|
