病毒爱情后门(lovgate)
来源:互联网 发布:c语言 手机编辑器下载 编辑:程序博客网 时间:2024/06/05 19:28
于是上网找了一下爱情后门的资料:爱情是一个集蠕虫后门黑客于一身的病毒。当病毒运行时,将自己复制到windows目录下,文件名为:WinRpcsrv.exe并注册成系统服务。然后把自己分别复制到system目录下,文件名为syshelp.exe,WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程,并对其殖入远程后门代码。(该代码,将响应用户tcp请求建方一个远程shell进程。win9x为command.com,NT,WIN2K,WINXP为cmd.exe)之后病毒将自身复制到windows目录并尝试在win.ini中加入run=rpcsrv.exe。并进入传播流程。
病毒的几个功能:
1.密码试探攻击:
病毒利用ipc进行guest和Administrator账号的简单密码试探。(使用如12345678,abcdef,888888)如果成功将自己复制到对方的系统中文件路径为:sytem32/stg.exe并注册成服务服务名为:
Window Remote Service
2.放出后门程序:
病毒从自身体内放出一个dll文件负责建立远程shell后门。
3.盗用密码:
病毒放出一个名为win32vxd.dll的文件(hook函数)用以盗取用户密码。
4.后门
病毒本身也将建立一个后门,等待用户连入。
5.局域网传播:
病毒穷举网络资源,并将自己复制过去。文件名为随机的选取,病毒体内的文件名有以下几种可能
humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE
SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe
joke.exe,images.exe,pics.exe
6.邮件地址搜索线程,病毒启动一个线程通过注册表:
Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders得到系统目录
并搜索*.ht*中的email地址。用以进行邮件传播。
7.发邮件
病毒利用mapi及搜出的email地址,进行邮件传播。邮件标题随机从病毒体内选出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.
杀毒后的系统恢复。
杀毒完成后打开D、E、F、G盘的时候,系统提示找不到Command.exe。看了就知道是用Autorun.inf文件的方法实现的,这个文件的建立方法是,先新建一个文本文件,在里面输入
[autorun]
open=Command.exe //command.exe是要打开的文件名称
icon=Command.ico //Command.ico是文件的图标。
这样的文件一般放在分区的根目录下,通常光盘要实现自动播放也是用这个文件。
于是在浏览器中输入 d:/进入D盘
可是找到autorun.inf文件,用显示所有的选项也没有找到。
没办法只好转到CMD环境下,用DIR /A命令终于看到了
用attrib命令去掉autorun文件的系统和隐藏属性,attrib autorun.inf -s -h
然后del autorun.inf
修复注册表
在注册表中查找Command.exe,找到后连同上面的shell子键一起删除就行了。
其余各盘的设置也是一样的。
- 病毒爱情后门(lovgate)
- W32.Lovgate.R@mm 爱情后门最新变种
- lovegate 爱情后门病毒介绍(转载收藏)
- 病毒名:W32.Lovgate.R@mm
- 爱情病毒论
- 【爱情森林】病毒清除
- 爱情森林病毒部分源代码
- 后门病毒iexplores.exe的介绍
- 一个DDOS木马后门病毒的分析
- 一个DDOS木马后门病毒的分析
- 爱情真的是病毒吗?
- 对付病毒,IE插件,后门的超简单办法
- 修改注册表对付病毒木马后门及黑客
- 修改注册表对付病毒、木马、后门及黑客程序
- 网站后门(防)
- 后门
- 后门
- 后门
- 阅读笔记:库绑定 - 我们应该让它更精确一些
- FreeBSD5.4Release X Windows 安装笔记 (Freebsd5.4R+Gnome2.10.0)
- [cp] LR_1 分析表的生成
- UML中扩展和泛化的区别
- 关于Win32/Parite.a病毒
- 病毒爱情后门(lovgate)
- C++笔记
- Web标准的基本概念
- 第二十九期:CSDN论坛秀-Delphi版-本期作秀:qxj(游民)
- 今天做了个导航条(使用外部文件XML)
- I18N&L10N
- 七年之痒
- 自己的想法.............
- 完全掌握java中的"包"机制