病毒的解决方法
提 醒:重要资料及时备份,防比杀更有效
简介:lovgate集蠕虫、后门、黑客于一身,通过病毒邮件进行邮件传播,通过建立后门给用户的计算机建立一个泄密通道,通过放出后门程序与外界远程木马沟通,通过放出盗窃密码程序主动盗窃计算机密码,通过远程疯狂传播局域网,最终导致所有计算机用户受到病毒控制,网络瘫痪、信息泄露等严重后果。
一、病毒资料
名字: W32/Lovgate.r@M
发现日期: 3/22/2004
大小:97,280字节
传播途径:EMAIL传播; 通过RPC漏洞传播; 通过U盘、移动硬盘传播;通过网络共享传播。
网络传播途径:Lovgate病毒新的变种,通过445端口搜索邻近IP共享目录,对密码进行弱
口令破解,成功后共享media目录,启动NETMANAGER.EXE远程管理程序,并做为服务器,继续搜索邻近IP,快速传播。
二、病毒被执行时,产生下列文件:
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\WinHelp.exe
%System%\NetMeeting.exe (61,440 bytes)
%System%\spollsv.exe (61,440 bytes)
%SysDir%\IEXPLORE.EXE
%SysDir%\kernel66.dll
%SysDir%\RAVMOND.exe
%WinDir%\SYSTRA.EXE
%SysDir%\msjdbc11.dll
%SysDir%\MSSIGN30.DLL
%SysDir%\ODBC16.dll
%System%\LMMIB20.DLL
C:\COMMAND.EXE (被加入autorun.inf文件,双击磁盘时自动转行)
三、在每个磁盘根目录下产生后缀为COM,EXE,PIF,SCR病毒文件,常见名称如下:
pass
bak
password
email
book
letter
important
四、更改注册表,机器启动时自动加载运行病毒程序
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
"run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Program In
Windows" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
"SystemTra" = %WinDir%\SysTra.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VFW
Encoder/Decoder Settings" =RUNDLL32.EXE MSSIGN30.DLL ondll_reg
其中最后一行,为病毒的后门服务。
五、自动生成和加载三个服务
1、Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
描述:提供后门服务
2、Display name: Windows Management Protocol v.0 (experimental)
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
描述: 高级服务器,执行计划性扫描局域网。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows
3、Display name: Windows Management Network Service Extensions
ImagePath: NetManager.exe -exe_start
Startup: Automatic
描述:为远程管理程序,提供后门服务。
[1] [2] [3] 下一页
