標籤: 暫無標籤

「愛情後門變種T」(Worm.LovGate.T)是一種計算機蠕蟲病毒,它是「愛情後門」病毒的最新變種,主要通過區域網/郵件/後門/系統文件等途徑傳播,依賴於WINDOWS 9X/NT/2000/XP等系統統。該病毒早在2003年11月17日被瑞星全球反病毒監測網在全球率先截獲。該病毒除了具有蠕蟲、黑客、後門等病毒特性外,還增加了感染系統文件、盜竊密碼兩大全新功能,具有更大的危險性。

「愛情後門變種T」(Worm.LovGate.T)病毒檔案  
知識庫編號: RSV0512256
內容分類: 蠕蟲病毒
關鍵詞: 愛情後門;Worm.Lovgate.T
適用操作系統:Windows 操作系統
適用操作系統補丁版本:全部補丁適用
「愛情後門變種T」(Worm.LovGate.T)病毒檔案  
病毒評估
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:區域網/郵件/後門/系統文件
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹
2003年11月17日,瑞星全球反病毒監測網在全球率先截獲「愛情後門」病毒的最新變種—「愛情後門變種T(Worm.LovGate.T)」,該病毒除了具有蠕蟲、黑客、後門等病毒特性外,還增加了感染系統文件、盜竊密碼兩大全新功能,具有更大的危險性。
「愛情後門變種T」病毒會搜索系統中的所有可執行文件,在尾部加入一個遠程竊取信息的病毒模塊,只要被感染的文件運行,就會激活該病毒模塊,然後搜索包含如下字眼的窗口:「登錄」、「註冊」、「密碼」、「口令」、「賬號」、「pass」,偷盜這些窗口中的密碼信息,並存於syszsl.dll文件之中,通過網路泄露出去。
病毒運行時還會將自己複製到系統目錄下,通過修改註冊表和WIN.INI文件兩種方式進行自啟動,大大增強了病毒運行的可能性,病毒被激活時會通過猜密碼的方式來破譯區域網計算機的管理員密碼,取得最高許可權,成功后便能控制該計算機,如果不能成功,病毒還會將自己拷貝到區域網計算機的共享目錄下,來誘使區域網中的其它計算機用戶運行該病毒。
病毒運行時還會給系統開後門,並且每隔一小時就會向病毒作者發送一封記錄被感染計算機IP信息的信件,使病毒作者能控制用戶計算機。該病毒還會搜索用戶的E-MAIL地址,然後通過發送大量病毒郵件來進行網路傳播,並極有可能會阻塞網路。
病毒的特性、發現與清除
1. 感染系統中的所有可執行文件,在這些文件尾部加入一個通過遠程竊取信息的模塊,該病毒模塊的作用是搜索包含如下字眼的窗口:「登錄」、「註冊」、「密碼」、「口令」、「賬號」、「pass」,偷盜這些窗口中的密碼信息,並存於syszsl.dll文件之中。
2. 病毒會釋放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五個病毒, 用戶可以在計算機中查找該病毒文件,找到后刪除。
3. 當用戶系統為9X系統時,病毒會修改啟動文件win.ini,在其中加入run=rpcsrv.exe項, 用戶可以用記事本程序將該文件打開,將這一病毒項刪除。
4. 病毒會利用遠程連接指令對區域網中的有guest和Administrator賬號的計算機進行簡單密碼試探,如果成功將自己複製到對方的sytem32目錄中,命名為:stg.exe,並註冊成Window Remote Service服務來感染對方計算機,同時放出一個名為win32vxd.dll的盜密碼文件,以盜取用戶密碼。。
5. 病毒不停地搜索網路資源,導致整個區域網資源被佔用,如果發現有共享目錄,則將自身複製過去,病毒文件名有以下幾種可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,
PsPGame.exe,joke.exe,images.exe,pics.exe, 區域網的用戶如果在共享目錄中發現有這些文件,請直接刪除。
6. 病毒會使用10168埠在系統中建立一個後門,等待外界用戶連入,對用戶計算機進行遠程控制。
7. 病毒運行時會通過註冊表來搜索電腦中的email地址,然後向這些地址發送大量的帶毒郵件來阻塞網路。
郵件標題隨機從以下字元串中選出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.
當用戶發現有這樣標題的信件時,不要隨便觀看這些郵件,最好直接將這些郵件刪除,以防止病毒運行。
8. 病毒運行后,會每隔1小時發送一次通知郵件到病毒作者的一個信箱,郵件的標題為:xyz123xyz123,內容為中毒系統的IP地址信息,當病毒作者收到病毒通知信件后,就可以利用病毒開的後門對用戶計算機進行遠程控制,為所欲為。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了「愛情後門變種T(Worm.LovGate.T)」病毒。
解決方案
1、瑞星殺毒軟體16.01版已可清除此病毒,目前瑞星用戶只需升級到最新版本即可徹底攔截此病毒。
2、下載「愛情後門」(Worm.Lovgate)病毒專殺工具進行查殺。
上一篇[Ambush]  

相關評論

同義詞:暫無同義詞