一、病毒将自身复制到
%Windir%\\Systra.exe
%System%\\Hxdef.exe
%System%\\iexplore.exe —— 注意区别于IE浏览器的iexplorer.exe
%System%\\RAVMOND.exe —— 这个文件名易被误认作是瑞星杀毒软件的组件名
%System%\\Kernel66.dll —— 该文件具有只读、隐藏和系统属性
%System%\\WinHelp.exe
其中%Windir% 为 WINNT 目录(Windows2000系统)或 WINDOWS 目录(WindowsXP系统),%System% 为 %Windir% 目录下的 system32 目录。
二、创建后门/木马组件
%System%\\ODBC16.dll
%System%\\Msjdbc11.dll
%System%\\MSSIGN30.DLL
%System%\\LMMIB20.DLL
这些文件都具有 53,760 字节的长度。
三、创建文件
%System%\\NetMeeting.exe —— 易混淆于Windows的NetMeeting程序组件
%System%\\spollsv.exe —— 易混淆于Windows的打印池/打印进程spoolsv.exe
这些文件具有 61,440 字节的长度。
四、对注册表的操作
1、将键值
"Hardware Profile"="%System%\\hxdef.exe
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\\IEXPLORE.EXE"
"Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%System%\\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.exe MSSIGN30.DLL ondll_reg"
"WinHelp"="%System%\\WinHelp.exe"
添加到位置
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
2、将键值
"SystemTra"="%Windir%\\Systra.exe"
添加到位置
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
3、将键值
"run"="RAVMOND.exe"
添加到位置
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
4、可能生成
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ZMXLIB1
上述注册表操作使得病毒可以在各种受感染的操作系统启动时自动运行。
五、对进程的操作
终止下列服务——
Rising Realtime Monitor Service
Symantec Antivirus Server
Symantec Client
新建服务——
"Windows Management Protocol v.0 (experimental)"映射到"Rundll32.exe msjdbc11.dll ondll_server"
新建服务——
"_reg"映射到"Rundll32.exe msjdbc11.dll ondll_server"
终止含有下列字符串的进程——
KV;KAV;Duba;NAV;kill;RavMon.exe;Rfw.exe;Gate;McAfee;Symantec;SkyNet;rising
六、运行后门程序
在计算机的6000端口运行后门程序,该程序窃取计算机信息并存储于C:\\Netlog.txt,并由蠕虫以电子邮件形式发送给攻击者。
七、在局域网中传播
以下列文件名将自身复制到网络共享文件夹和子文件夹中——
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
注意:如果计算机设置为隐藏已知类型文件的扩展名(默认设置),则上述文件更具有欺骗性,容易误操作导致病毒激活!
扫描局域网上的所有计算机,用Administrator用户名和一组简单密码,密码列表见本版精华区Symantec的技术资料。
如果病毒成功登录远程计算机,它将会把自身复制到
\\\\<远程计算机名>\\Admin$\\system32\\NetManager.exe
并将该程序启动为名为"Windows Management NetWork Service Extensions"的服务。
八、一些本地操作
向 Explorer.exe 或 Taskmgr.exe 注入一个进程,该进程会在蠕虫病毒未运行或者被删除时尝试复制自身并运行。
在一个随机的端口打开本地计算机的 FTP 服务,并且不设置身份验证。
建立一个网络共享名"Media"指向"%Windir%\\Media"。
在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成文件名为:WORK;setup;Important;bak;letter;pass,扩展名为:RAR;ZIP的压缩文件,
其中包含文件名为:WORK;setup;Important;book;email;PassWord,扩展名为:exe;com;pif;scr的病毒副本。
注意:上面这点是该病毒最显著的特征,这些文件具有相同的 125K 大小。
在所有硬盘驱动器分区和可写入的移动存储设备的根目录下生成 Autorun.inf,并将自身复制为同路径下的 Command.com,这将导致双击驱动器无法进入并激活病毒。
扫描所有驱动器并试图将 .exe 文件更名为同名的 .zmx 文件,再将病毒体本身复制为原先的 .exe 文件。
注意:上面这点也是该病毒很显著的特征。
九、对外传播
试图通过TCP的135端口,以及微软的DCOM RPC漏洞(MS03-026)向外传播。
自动带毒回复所有到达本地的电子邮件,通过诸如 Outlook 的工具。
在本地计算机自动搜索电子邮件地址并通过病毒本身的SMTP服务器发送带毒邮件。
“W32.Lovgate.R@mm”病毒判别与清理
判别方法:
感染 W32.Lovgate.R@mm 的比较显著的特征:
1、出现125K大小的不明来源的压缩包;
2、双击无法进入驱动器,可能提示Command 错误;
3、在存放 .exe 文件的目录下出现 .zmx 文件;
4、Outlook等电子邮件客户端自动发送信息等……
杀毒方法:
一、Symantec公司提供了一款专杀工具 —— FixLGate.com
此专杀工具针对 W32.Lovgate.R@mm 以及 W32.Lovgate.[A-L]@mm,
使用此工具时请注意下列问题:
1、如果操作系统是 Windows Me 或者 Windows XP,关闭系统还原功能;
2、启动计算机到安全模式;
3、进入安全模式后不要进行双击操作,要以 右键--打开 代替;
4、最好是在断开网络的情况下进行操作。
也可以使用更新了病毒定义的 Norton AntiVirus 系列产品来杀毒,注意事项同上。
杀毒后请尽快连接到 WindowsUpdate 网站进行更新,确保计算机已经安装了所有检测到的关键更新。
二、Symantec的杀毒建议:
1、禁用XP和ME的系统还原
如何关闭或启用 Windows Me「系统还原」
如何关闭或启用 Windows XP「系统还原」
2、升级病毒定义库
3、重启至安全模式
4、恢复被修改的注册表键值
(1)点击开始-->运行-->regedit
(2)导航至:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
在右侧窗口,删除以下键值
"WinHelp" = "%system%\\realsched.exe"
"Hardware Profile" = "%system%\\hxdef.exe"
"Program In Windows" = "%system%\\IEXPLORE.EXE"
"Microsoft NetMeeting Associates, Inc." = "NetMeeting.exe"
"VFW Encoder/Decoder Settings" = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Protected Storage" = "RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension" = "%system%\\spollsv.exe"
"S0undMan" = "%system%\\svch0st.exe"
(3)操作如下一步:
Windows 95/98/Me: 跳至(4)
Windows NT/2000/XP: 跳至(6)
(4)导航至:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
(5)在右侧窗口,删除以下键值:
"SystemTra" = "%Windir%\\SysTra.EXE"
"COM+ Event System"="DRWTSN16.EXE"
删除键值后,跳至(8)
(6)导航至:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
(7)在右侧窗口,删除
"run"="RAVMOND.exe"
(8)导航至:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services
(9)在左侧导航条中,删除
_reg
(10)导航至:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services
(11)在左侧导航条中,删除
Windows Management Protocol v.0(experimental)
(12)推出注册表编辑器
更多信息,请参考:
“W32.Lovgate.R@mm”病毒之分类分析 注册表操作部分
26条解析“W32.Lovgate.R@mm”病毒 4~7部分
5、在安全模式下执行全盘扫描
预防措施:
1、经常去 WindowsUpdate 网站获取更新;
2、安装可靠的实时监控的反病毒软件,并经常更新;
3、为 Administrator 帐号设置高强度的密码;
4、不要轻易运行电子邮件的附件,尤其当附件是文中提到的格式(可执行)时;
5、及时在 Symantec 网站或本版获得病毒的最新信息以及应对措施。
LovGate导致“找不到打开文件的COMMAND.EXE”错误的解决办法
现象:
1、在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件,文件名多为pass,work,install,letter,大小约为126K;
2、在每个硬盘驱动器根目录下存在COMMAND.EXE;
3、存在C:\\WINDOWS\\system32\\hxdef.EXE文件;
4、磁盘盘符双击不能打开,说Windows无法找到COMMAND.EXE文件,要求定位该文件,定位为C:\\windows\\explorer之后每次打开会提示“/StartExplorer”出错,然后依然能打开驱动器文件夹;
5、病毒在每个驱动器下面写入了一个大小为49字节的AutoRun.inf文件,内容为:
-----------------------------------------------------------------------------
open="X:\\command.exe" /StartExplorer X为驱动器盘符
-----------------------------------------------------------------------------
所以,如果你没有杀毒,每次点开C/D/E/F/G盘都会激活病毒
手工清除:
1、开始-->运行-->cmd(打开命令提示符)
2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件,约49字节。
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del autorun.inf
到这里还没完,因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe,这个时候自动运行的信息已经加入注册表了。
5、清除注册表中
(1)开始-->运行-->regedit-->编辑-->查找-->command.exe
找到的第一个就是C盘的自动运行,删除整个shell子键
(2)F3,重复操作,处理其他盘符
基本方法如上,也可以用Symantec的专杀工具查杀,不过似乎效果不太好!
W32.Chir.B@mm(中国黑客变种) 分析与处理
虽说是两年前的病毒了,但是还是在客户的网络里发现了不少,转载技术分析报告,分析解决办法,希望对普通用户杀毒提供帮助。
病毒分析:
----------------------------------------------------------------------------------
基本信息
病毒名称:W32.Chir.B@mm(中国黑客变种)
别 名:I-Worm.Runouce.b [AVP], Win32/ChiHack [Ahnlab
发现日期:2002-7-29
病毒类型:蠕虫
感染长度:10748字节
病毒类型:邮件病毒
危害级别:中
传播速度:高
发作时间:随机
传播方式:邮件/网络
受影响系统:Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
不受影响系统:Macintosh, Unix, Linux
警惕程度:★★★★
病毒危害
1、发送大量邮件:感染后会向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件;
2、修改文件:会感染 .HTM, .HTML, .EXE, .SCR文件。
病毒传播
From:<用户名>@yahoo.com或imissyou@btamail.net.cn
主题:[用户名]is coming!
附件:pp.exe
技术特征
该病毒既是一个网络共享、电子邮件蠕虫,又是一个文件感染型病毒,会利用自己的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送大量病毒邮件。它同时会搜索所有本地及网络驱动器,并感染后缀为.htm, .html, .exe及.scr的文件。
病毒利用了IRAME及MIME漏洞,因此只要预览邮件时即会感染。运行后,它会:
1、创建C:%system%Runouce.exe(注意Runouce中的字母"U")文件。之后,它的属性会被设置成隐藏、系统及只读。这使得用户无法在Windows Explorer(若是默认设置的话)中看到此文件。
2、添加Runonce c:\\windows\\system\\Runouce.exe或
Runonce c:\\winnt\\system32\\Runouce.exe至注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中,使得Windows启动时病毒会自动运行。
3、利用自带的SMTP引擎向.WAB(Windows地址簿), .adc, r.db, .doc, .xls文件中的邮件地址发送附件为PP.exe的邮件。病毒使用的SMTP服务器是静态的,也就是指定的SMTP服务器没有运行时,病毒就无法传播。该SMTP服务器(btamail.net.cn)与以前W32.Chir@mm使用的是同一台。
此病毒感染HTML文件的方式与尼姆达的类似。首先在与HTML文件相同目录下创建一个Readme.eml。此文件是是病毒的MIME编码部分。之后,病毒会修改此HTML文件,使得HTML文件预览时会打开Readme.eml。此修改功能只有在启用JavaScript情况下有效。
病毒还会感染PE文件,它将自身依附在主文件的尾部,将尾部设置成可写并修改病毒体的入口点。从而,任何被感染文件执行时,此病毒会试图装载病毒副本、启动邮件程序。
----------------------------------------------------------------------------------
解决办法:
----------------------------------------------------------------------------------
1、下载使用专杀工具。
http://www.coolersky.com/web/download/20040713045836.asp
2、手动清除
(1)升级杀毒软件定义库,并进行全盘杀毒
(2)删除%system%下的Runouce.exe文件
(3)清理注册表添加项
(4)安装补丁文件q290108和Q321232
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp
