病毒爱情后门（lovgate）

         某天上网由于网站和网速的限制，就想也没想把防火墙和杀毒软件给关了，上网找点资料，上了一会儿发现机器速度有点慢，习惯性的打开任务管理器，出现了一个不明的进程而且CPU占用率很高，于打开了卡巴斯基，果然卡巴斯基病毒报警，我一看名字是Worm.lovgate我知道是爱情后门，于是赶紧上瑞星下载了一个专杀工具，马上断开网络，进入安全模式，再用专杀工具杀，然后又用卡巴斯基扫描了一遍。过了一会儿卡巴斯基报有来自网络的攻击，我一看是同一网段的。可能是局域网里的主机，也感染了爱情后门。马上设置防火墙，差点机子就满负荷运行挂了。还好挺过来了。

         于是上网找了一下爱情后门的资料：爱情是一个集蠕虫后门黑客于一身的病毒。当病毒运行时，将自己复制到windows目录下，文件名为：WinRpcsrv.exe并注册成系统服务。然后把自己分别复制到system目录下，文件名为syshelp.exe，WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程，并对其殖入远程后门代码。（该代码，将响应用户tcp请求建方一个远程shell进程。win9x为command.com，NT,WIN2K,WINXP为cmd.exe）之后病毒将自身复制到windows目录并尝试在win.ini中加入run=rpcsrv.exe。并进入传播流程。

病毒的几个功能：
1.密码试探攻击：
病毒利用ipc进行guest和Administrator账号的简单密码试探。（使用如12345678，abcdef，888888）如果成功将自己复制到对方的系统中文件路径为：sytem32/stg.exe并注册成服务服务名为：
Window Remote Service

2.放出后门程序：
病毒从自身体内放出一个dll文件负责建立远程shell后门。

3.盗用密码：
病毒放出一个名为win32vxd.dll的文件（hook函数）用以盗取用户密码。

4.后门
病毒本身也将建立一个后门，等待用户连入。

5.局域网传播：
病毒穷举网络资源，并将自己复制过去。文件名为随机的选取，病毒体内的文件名有以下几种可能
humor.exe,fun.exe,docs.exe，s3msong.exe，midsong.exe，billgt.exe，Card.EXE
SETUP.EXE，searchURL.exe，tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe
joke.exe,images.exe,pics.exe

6.邮件地址搜索线程,病毒启动一个线程通过注册表:
Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders得到系统目录
并搜索*.ht*中的email地址。用以进行邮件传播。

7.发邮件
病毒利用mapi及搜出的email地址，进行邮件传播。邮件标题随机从病毒体内选出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.

杀毒后的系统恢复。

杀毒完成后打开D、E、F、G盘的时候，系统提示找不到Command.exe。看了就知道是用Autorun.inf文件的方法实现的，这个文件的建立方法是，先新建一个文本文件，在里面输入

[autorun]
open=Command.exe  //command.exe是要打开的文件名称
icon=Command.ico  //Command.ico是文件的图标。

这样的文件一般放在分区的根目录下，通常光盘要实现自动播放也是用这个文件。

于是在浏览器中输入 d:/进入D盘

可是找到autorun.inf文件，用显示所有的选项也没有找到。

没办法只好转到CMD环境下，用DIR /A命令终于看到了

用attrib命令去掉autorun文件的系统和隐藏属性，attrib autorun.inf -s -h

然后del autorun.inf

修复注册表

在注册表中查找Command.exe,找到后连同上面的shell子键一起删除就行了。

其余各盘的设置也是一样的。