|
[快讯]2003年2月25日,瑞星全球反病毒监测网在国内率先截获“爱情后门(Worm.Lovgate)”病毒及四个变种(Worm.Lovgate.a/b/c/d/e),目前最新变种为:Worm.Lovgate.e。该病毒集蠕虫、后门、黑客三种攻击手段于一身,极有可能在未来一段时间大规模泛滥。从瑞星技术服务部门得到的数据显示,截止到25日中午,已经有十余位用户打来求救电话。
该病毒通过病毒邮件进行传播,一旦感染计算机后,就会建立一个“后门”,并与外界的操纵者取得联系,使得被感染机器处于外界的远程控制之中。外界操纵者可以轻易地向本机传送盗窃程序,获得该计算机的密码等资料。
对于局域网用户来说,病毒通过一台被感染的计算机迅速传播到整个局域网,最终导致所有计算机用户被外界操纵者控制、网络瘫痪、信息泄露等严重后果。如果外界操纵者带有商业或政治等目的,那么使用这个病毒,将使政府机关和各商业机构的信息系统完全被控制、全部泄漏。
从上述分析中我们可以看出,这个病毒对企事业单位的局域网用户危害性极大。瑞星反病毒工程师提醒大家,普通的单机版杀毒软件很难彻底查杀局域网内的病毒,特别是对“爱情后门”病毒群来说,最好使用网络版杀毒软件,才能充分保证局域网不被攻击。
瑞星杀毒软件于2月25日下午进行紧急升级,升级后的版本号为:15.23.01, 请用户及时升级。
“爱情后门”病毒的详细发作现象:
1. 释放出5个病毒体,修改注册表自启动。
病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒体分别感染系统,并修改相应的注册表和启动文件(win.ini)进行自启动。
2. 密码试探攻击,盗用密码.
病毒会利用ipc$命名管道进行guest和Administrator账号的简单密码试探,如果成功将自己复制到对方的sytem32目录中,命名为:stg.exe,并注册成Window Remote Service服务,同时放出一个名为win32vxd.dll的盗密码文件,以盗取用户密码。
3. 建立和释放后门,威胁计算机安全。
病毒会建立一个后门,等待外界用户连入,然后从病毒体内放出一个dll后门程序负责建立远程shell后门。
4. 疯狂局域网传播
病毒不停地搜索网络资源,导致整个局域网资源被占用,如果发现有共享目录,则将自身复制过去,病毒文件名有以下几种可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,
PsPGame.exe,joke.exe,images.exe,pics.exe
5. 搜索邮件目录,不断发送病毒邮件。
病毒会启动一个线程,通过注册表SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders的表项得到系统目录,然后搜索*.ht*中的email地址,找到后,病毒就利用MAPI功能,向外不断发送病毒邮件,邮件标题随机从以下字符串中选出:
Cracks!
The patch
Last Update
Test this ROM! IT ROCKS!.
Adult content!!! Use with parental advi
Check our list and mail your requests!
I think all will work fine.
Send reply if you want to be official b
Test it 30 days for free.
6. 病毒会每隔1小时通知病毒作者。
病毒运行后,会每隔1小时发送一次通知邮件到163.com的一个信箱,邮件的标题为:xyz123xyz123,内容为中毒系统的ip地址,当病毒作者收到病毒通知信件后,就可以利用病毒开的后门对用户计算机进行远程控制,为所欲为。
|
