又一個走偏門的人——佣金中國註冊IDCenfang

W32.Lovgate.R@mm（別名lovgate.w）病毒檔案
) I1 K9 m9 s( B( H; \
, U% Q: E. B4 p
別名：Win32/LovGate.AB.Worm, W32/Lovgate.R@mm (F-Secure), I-Worm.LovGate.w (Kaspersky), WORM_LOVGATE.W (Trend), W32/Lovgate.x@MM (McAfee)
4 v+ C8 F2 v$ @
W32.Lovgate.R@mm 病毒運行後，執行如下過程：
8 u: y; |" r5 r: R- p1.把自身複製成如下文件：
* s. B- d! z! m. @%Windir%\Systra.exe
- Z# D( {: m- _) o' i. }$ v%System%\Hxdef.exe
' L, o# a8 i: u+ n5 C%System%\iexplore.exe
" m- T* a. c: [- N%System%\RAVMOND.exe
%System%\Kernel66.dll(設置成隱藏，只讀的系統屬性)
%System%\WinHelp.exe
* 缺省情況下Windows　NT/2000System文件夾為C:\Winnt\ System32, XP下為C:\Windows\System32
9 j8 b5 p/ q; r# K
2.創建下列文件：
　%System%\ODBD16.DLL(53,760 bytes)
%System%\Msjdbc11.DLL(53,760 bytes)
%System%\MSSIGN30.DLL(53,760 bytes)

%System%\NetMeeting.exe(61,440 bytes)
) k- s6 H6 @) x  e  T- e%System%\spollsv.exe(61,440 bytes)

8 w/ s) y$ \3 E: i9 d3 O3.在病毒所在文件夾下，可能創建如下文件：
a
results.txt
9 a( k4 a7 g; Rwin2k.txt
winxp.txt
9 h- \9 I5 P5 n5 Q9 s6 e6 r* m6 Z
4.病毒修改註冊表：
　1).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加如下鍵值確保自身在系統運行後啟動：
"Hardware Profile"="%System%\hxdef.exe"
"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
"Program in Windows"="%System%\IEXPLORE.EXE"
"Proteced Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
"Shell Extension"="%System%\spollsv.exe"
"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSING30.DLL ondll_reg"
"WinHelp"="%System%"\WinHelp.exe
　
2).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下添加如下鍵值將自身設為服務(Windows 95/98/Me下)：
% b3 Q* Q& L8 N, ]; n  P4 D* ?"SystemTra"="%Windir%\Systra.exe"

3).在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下添加如下鍵值使得(NT/2000/XP)系統啟動時，病毒同時運行：
- q0 y% s. u" q+ F1 w"run"="RAVMOND.exe"

, Y& G! `9 A, l, o& t4).創建子鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

5.停止如下服務：
  C9 l( C8 P1 P+ U1 t% |+ e- Q1 n8 LRising Realtime Monitor Service
$ S7 ?/ i0 p: z4 t, ^, sSymantec Antivirus server
8 R4 c5 {+ Y1 i5 k2 P6 S$ B: a/ ySymantec Client

6.創建關聯"Rundll32.exe msjdbc11.dll ondll_server"的服務："Windows Management Protocol v.0(experimental).","_reg"
% L3 U+ L% `  \) a3 t) q
9 m3 p2 b/ d6 e0 b9 F. g7 C7.終結包含如下字符串的所有進程(很明顯，病毒想停止殺毒程序的進程)：
% L, }, f- k! ?6 B3 }- EKV
3 x) M( l: S  o! U- }KAV
Duba
! F2 m" G6 g0 G9 Z5 p- MNAV
, X4 L0 |& S1 S: {kill
RavMon.exe
Rfw.exe
Gate
! W8 q' K, q" t8 H1 I( ]- c$ CMcAfee
Symantec
5 S$ }8 A2 r, }1 z# |. d& TSkyNet
0 [3 l  q; o4 x  K; A- frising
/ @$ \# ~$ J0 ^& O! i% p9 x: y" ^
$ E$ p4 q$ o" K6 h2 w! Z8.在6000端口上運行後門程序，該程序收集機器的系統信息保存到C:\Netlog.txt中，並將其發送至攻擊者。
* F" w  w& h) C9 K7 u2 ]* E
9.以如下形式將自身拷貝到所有網絡共享文件夾及其子文件夾下：
WinRAR.exe
: r7 J3 N% P& o2 Q) eInternet Explorer.bat
Documents and Settings.txt.exe
( B, y4 e6 _- E9 s: z( ?Microsoft Office.exe
5 Q, N4 L  ]- p# {Windows Media Player.zip.exe
7 c: J$ o* [. Q1 ^. [7 ySupport Tools.exe
WindowsUpdate.pif
Cain.pif
3 R8 ]- \" D* N% AMSDN.ZIP.pif
( J/ T; ^. x( j6 @# {7 ?- x0 N  Aautoexec.bat
$ P1 V5 ?1 M5 Bfindpass.exe
client.exe
. `  ^( j0 S. \i386.exe
winhlp32.exe
. [- A$ Z  @, I) M7 |7 N5 Mxcopy.exe
4 Q- M) C& |3 }3 u7 S, R5 A/ c' ^- ]mmc.exe

4 f2 j1 E2 f9 M9 T* b; e" K10.掃瞄本機所在局域網，以"Administrator"作為賬號，並用如下字符串作為口令試探登陸其他機器：
Guest
Administrator
# H2 Q: T* g$ S. ?% P.....
*如果沒有設置密碼，病毒同樣會用"Adimistrator"登陸遠程機器
  s, j, U+ V% z& {$ g, j2 ]
* @* [( n% U2 X' _! d7 |11.如果病毒能夠成功登陸遠程機器，它會嘗試將自身複製到\\<remote computer name>\admin$\system32\NetManager.exe，並把文件"Windows Management NetWork Service Extensions."設為服務
+ _1 ~6 |8 F% z* ~% n1 C  }/ K- X
12.向Explore.exe或者Taskmgr.exe中注入線程，如果線程發現病毒程序沒有運行，或者已經被刪除，它會嘗試拷貝自身並運行。
4 Z* r* B/ Q% Z7 C
13.在隨機端口打開FTP服務，並且不加認證，這也意味著被感染的機器已經向所有人開放。
& t( J' _7 u" v
' u/ |8 i# G0 s/ e- c2 ~4 ]7 h3 ]14.創建一個網絡共享"Media"，指向"%Windir%\Media"

15.在所有硬盤分區(不包括A,B)的根目錄下創建壓縮文件：<filename>.<ext>。
! i0 C+ b3 X8 v; z<filename>通常是如下中一個：
! P9 v& B. Q  q& }) XWORK
setup
6 f/ m5 d' ^3 _& JImportant
1 Q. i: N+ T& e3 q* P0 zbak
letter
pass
) i& V) K- L8 {. W9 h" d3 x+ e
* X; W  q" u4 m7 D4 v- v9 G<ext>通常是RAR或者ZIP

9 T  u5 m8 v5 |( I# D該壓縮包中包含一份病毒的備份文件，文件名為<filename>.<ext>
! K" H2 h% J; E9 O3 T+ C* x<filename>通常是如下中一個：
WORK
8 `4 d) p' T7 Nsetup
7 ]/ R) x- W% r* T! GImportant
book
email
PassWord

. Q* l$ p, R# W# R<ext>通常是exe,com,pif,scr

16.在所有分(不含CD-ROM分區)的根目錄下創建文件Autorun.inf，並將其拷貝為該文件夾下的Command.com
, T. ]/ `: `- X4 N. B* B) D*如果雙擊該圖標，病毒將被運行．
& D1 M0 H8 C9 ^
17.病毒掃瞄所有硬盤分區，一旦發現分區屬於移動硬盤，映射驅動器或者分區號超過E，則病毒將執行如下操作：
嘗試將所有擴展名為.exe的文件其擴展名改成.zmx
$ M3 z/ ^- X: H將這些文件的屬性設成「隱藏」和「系統」
; U5 I6 s  r$ E. q1 u/ ?將自身拷貝為原始文件名
例如：病毒發現文件temp.exe，它將把文件更名為temp.zmx，並將自己的一個拷貝改名為temp.exe

18.通過DCOM RPC漏洞(基於TCP協議的135端口)，嘗試攻擊其他機器
$ m/ c; D3 Q* Y2 `- U
19.通過各種郵件客戶端程序(包括OE)，回復郵箱裡的所有來信
例如： 原始郵件如下：
Subject: <subject>
$ q8 }/ @5 q  O7 }From: <someone>@<somewhere.com>
Message: <original message body>
( G" k% q8 q) I. F9 F
病毒嘗試發送如下郵件：
9 F% b$ D0 }  j2 L* H* b9 j) ^! LSubject: Re: <subject>
To: <someone>@<somewhere.com>
  j8 \" ^# B# r, a- Y' G- F7 CMessage:
<someone> wrote:
* H7 E/ K& i" k) H& ~====
# J- p/ l* [- \2 s0 r> <original message body>
5 S" ]$ O- m+ ~! s: M>
+ l" h- z$ n) x9 G9 U( A====

  u7 J. ?8 w4 e) b$ N* I  x<senders domain> account auto-reply:
後邊通常是：
1 b; ]0 E% H$ Z/ Y4 q7 h) {9 C/ tIf you can keep your head when all about you
! z; S" T% T  f; T% _Are losing theirs and blaming it on you;
% n! b' N& j5 `. RIf you can trust yourself when all men doubt you,
1 [$ S% ~0 {6 g! H) N2 DBut make allowance for their doubting too;
/ [5 a& V5 s3 o) p! L  i* eIf you can wait and not be tired by waiting,
0 _2 j9 \" M7 cOr, being lied about,dont deal in lies,
0 v0 r2 o' G8 _Or, being hated, dont give way to hating,
9 g" @) m3 ?, r2 N8 \+ ^6 e" |And yet dont look too good, nor talk too wise;
& V& [6 R& @; ^( U# |# }8 j... ... more look to the attachment.
5 c$ T# O+ K3 i* {* H4 y* X* b
: H) _/ N7 C1 T> Get your FREE <senders domain>now! <
( }* p7 R& V+ J* {+ z% V
# t4 ?( G$ f8 Q! s+ A附件通常是下邊中的一個：
the hardcore game-.pif
Sex in Office.rm.scr
) Y) v1 m% S4 B# R& e6 W+ a! ?  BDeutsch BloodPatch!.exe
( Y  }7 ]& X7 W0 vs3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
. @, L% u+ H6 K* u  aSETUP.EXE
Shakira.zip.exe
. Q. z" L& _# ~- a* @, I% _& Ndreamweaver MX (crack).exe
( G4 ]9 V: [7 g% j8 pStarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
5 C' P7 [) W& [joke.pif
  A3 _  G) e( g- _8 U3 {* gBritney spears nude.exe.txt.exe
I am For u.doc.exe
$ l3 j2 w+ f7 n6 a1 p& G) R/ g
! I+ D! D+ l  d* b# c
20.掃瞄系統的WAB文件，Internet臨時文件夾，映射驅動器，以及內存，將自身通過收集到的郵件地址發送出去。
3 v; r- ?& e1 }/ f* z* a% [# X
4 M1 S7 V; |2 F5 [21.病毒遍歷所有硬盤分區以及內存，在擴展名是下列幾種的文件中收集E-mail地址：
.txt
4 D2 d& R9 R7 S  P) Y% E0 J.htm
.sht
2 d$ v2 v# Q4 d4 U8 K.php
+ m! _! Q4 {) z  K8 V" `.asp
; B- D+ E5 D( D1 C.dbx
.tbb
1 c9 H0 ?5 b7 O2 U; k3 e.adb
.pl
.wab

, `! Y! f5 J/ [" \. V* P0 t22.使用其自身攜帶的SMTP引擎，發送郵件
郵件如下：
發送人: 發送人的姓名在病毒攜帶的列表裡隨機尋找一個
# V; W  f# s7 v/ F7 m( R% v& E
  [; [% `3 D+ w0 p: I: f+ _+ i標題: 郵件的主題通常是下邊的一個:

, N/ d; ], S: P# ntest
  r! j" f2 v! z# Z. f! W" W" E7 vhi
0 c% b9 y+ K( E* D9 mhello
; k( @4 h, V6 s& F/ Q& G' bMail Delivery System
Mail Transaction Failed
Server Report
- d9 U, r; M4 F' h$ Y. kStatus
) D% y* c5 ^$ N; QError
5 R7 p# I5 Y# t" N
正文: 郵件內容通常是下邊的一個:

Its the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
' s9 O/ X; ^* BMail failed. For further assistance, please contact!

附件: 隨機創建文件名，並生成如下擴展名:

, }4 P' g) e: ?; ?.exe
.scr
, s" z4 x* V/ {, t4 S1 Q.pif
.cmd
.bat
.zip
" i0 q4 J; k) a.rar

自己搜索的...
俺中這個病毒無數次...每次都頭大...

CENFANG--來自aisoho，應該是我們這裡的vip會員