又一個走偏門的人——佣金中國註冊IDCenfang

W32.Lovgate.R@mm（別名lovgate.w）病毒檔案

3 O/ o% x! g! u) ^1 F
# u4 ?6 [4 B2 U0 V: ^別名：Win32/LovGate.AB.Worm, W32/Lovgate.R@mm (F-Secure), I-Worm.LovGate.w (Kaspersky), WORM_LOVGATE.W (Trend), W32/Lovgate.x@MM (McAfee)
5 F! {6 b7 @  }& k) W
& L! E5 ^: ~) a: k6 Y5 g# N: qW32.Lovgate.R@mm 病毒運行後，執行如下過程：
1 ]/ \6 w; R5 ^* [# o1.把自身複製成如下文件：
! E3 K. v: E: y9 x& k%Windir%\Systra.exe
%System%\Hxdef.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\Kernel66.dll(設置成隱藏，只讀的系統屬性)
% \, E9 D4 Y+ S& g%System%\WinHelp.exe
* 缺省情況下Windows　NT/2000System文件夾為C:\Winnt\ System32, XP下為C:\Windows\System32
! ~% y; P% o( y& k# ?% ?- V$ x
# d! U9 F( }1 R" m2.創建下列文件：
　%System%\ODBD16.DLL(53,760 bytes)
# J4 C( [+ A5 v%System%\Msjdbc11.DLL(53,760 bytes)
%System%\MSSIGN30.DLL(53,760 bytes)
6 D8 [- M, K2 t! v5 n) U: W0 ]
%System%\NetMeeting.exe(61,440 bytes)
6 C! f$ e' C+ S) P1 w  m) \%System%\spollsv.exe(61,440 bytes)

; u4 k0 z4 D% p. u! ^( {3.在病毒所在文件夾下，可能創建如下文件：
' s# }5 D0 W/ b1 T1 Q. Ca
results.txt
  D% S. Y1 q+ F6 n* mwin2k.txt
winxp.txt

4.病毒修改註冊表：
　1).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加如下鍵值確保自身在系統運行後啟動：
3 f0 M  |  F9 E0 D9 d! S6 t"Hardware Profile"="%System%\hxdef.exe"
, |9 D4 c, ?' X, v6 l7 @0 b"Microsoft NetMeeting Associates, Inc."="NetMeeting.exe"
- b9 E0 u& y: G, I"Program in Windows"="%System%\IEXPLORE.EXE"
"Proteced Storage"="RUNDLL32.EXE MSSIGN30.DLL ondll_reg"
+ T$ E. u4 ~& l1 f& {"Shell Extension"="%System%\spollsv.exe"
' M) _* W& L. \# `) H, c4 S"VFW Encoder/Decoder Settings"="RUNDLL32.EXE MSSING30.DLL ondll_reg"
, j6 [! K8 k! A; L"WinHelp"="%System%"\WinHelp.exe
　
/ T! G( m( i8 q! f! G) K2).在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 下添加如下鍵值將自身設為服務(Windows 95/98/Me下)：
, L: M% Q$ p: I6 b: W  f5 O' S"SystemTra"="%Windir%\Systra.exe"
2 }# U9 t4 p' C0 N* p& Y
/ O5 j! T. H6 j& A4 w3).在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下添加如下鍵值使得(NT/2000/XP)系統啟動時，病毒同時運行：
"run"="RAVMOND.exe"
5 l* j, |, [6 f& g" ~$ H
% h' o* t4 X7 Q5 h- c, ]; a4).創建子鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ZMXLIB1

7 p5 x3 D) x2 W3 ]5.停止如下服務：
Rising Realtime Monitor Service
Symantec Antivirus server
Symantec Client
7 M& n6 x/ P2 H# _7 l
' \6 w: F) K5 a! V- L! u6.創建關聯"Rundll32.exe msjdbc11.dll ondll_server"的服務："Windows Management Protocol v.0(experimental).","_reg"

8 W) q6 ?% \1 P8 G/ Y7.終結包含如下字符串的所有進程(很明顯，病毒想停止殺毒程序的進程)：
KV
3 R& C* o" ~+ Z( w# j9 JKAV
3 _* Y( ]& w8 x; v7 SDuba
% t$ U9 Q6 W- G1 X; d5 d5 jNAV
kill
RavMon.exe
8 M1 g5 _. [6 X7 o  f5 ?, b) s& kRfw.exe
Gate
McAfee
6 p6 A1 Q7 T. t( m; O: a) a; O! NSymantec
SkyNet
/ S; p3 t7 p- ]8 i! Jrising

8.在6000端口上運行後門程序，該程序收集機器的系統信息保存到C:\Netlog.txt中，並將其發送至攻擊者。
7 t9 Y* }  l8 K
2 I: ?/ r! m. p. X9.以如下形式將自身拷貝到所有網絡共享文件夾及其子文件夾下：
$ o7 o! n$ p0 T: g( B, p2 h: Q+ y! R8 nWinRAR.exe
Internet Explorer.bat
0 _  S; `' y" B' A9 i! Q2 H- H/ pDocuments and Settings.txt.exe
# o9 z  p6 p: B6 n- I& wMicrosoft Office.exe
. q: Q' S3 i' t2 o9 T+ {! ~6 I9 OWindows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
, U& e; v( t: h# V4 @  U* _Cain.pif
, x. |& L/ x5 g4 a8 G& ?4 \MSDN.ZIP.pif
8 i: ]3 a/ s2 S' u9 Tautoexec.bat
findpass.exe
client.exe
* C% Y4 j& z7 ]! J& \i386.exe
0 s8 w! K2 T! h4 t: }winhlp32.exe
9 C1 S9 G1 L/ W$ [3 y- Y, {9 Sxcopy.exe
5 w2 L1 K( G0 W0 u+ }mmc.exe
, u) l, v4 j  m+ e  O
5 n9 ^- l! S' E8 a" F1 p10.掃瞄本機所在局域網，以"Administrator"作為賬號，並用如下字符串作為口令試探登陸其他機器：
Guest
Administrator
.....
8 A; P8 S8 y, @+ [9 C7 K*如果沒有設置密碼，病毒同樣會用"Adimistrator"登陸遠程機器
. b3 I9 Q& c. z9 z. e& \8 |, ?+ s
11.如果病毒能夠成功登陸遠程機器，它會嘗試將自身複製到\\<remote computer name>\admin$\system32\NetManager.exe，並把文件"Windows Management NetWork Service Extensions."設為服務

12.向Explore.exe或者Taskmgr.exe中注入線程，如果線程發現病毒程序沒有運行，或者已經被刪除，它會嘗試拷貝自身並運行。
" c' S* ~" g& _% U& e5 T
13.在隨機端口打開FTP服務，並且不加認證，這也意味著被感染的機器已經向所有人開放。
. S: H" B% O2 t  N! n$ h
14.創建一個網絡共享"Media"，指向"%Windir%\Media"

15.在所有硬盤分區(不包括A,B)的根目錄下創建壓縮文件：<filename>.<ext>。
<filename>通常是如下中一個：
1 G8 f2 l# c$ r3 h. yWORK
setup
Important
! ]8 f; L9 @- Jbak
: g, @5 L# I  ?# A& g: X- a; y; Hletter
pass
. K! l# F- |5 y3 b- e
% x  ?' Z; i- {1 m<ext>通常是RAR或者ZIP
, V4 ]  M' ^7 i* l. s2 l( a$ B0 q- f
4 W3 @! E; ~5 H& @5 c) G該壓縮包中包含一份病毒的備份文件，文件名為<filename>.<ext>
. h: L  C6 T% U7 v<filename>通常是如下中一個：
WORK
+ ~3 _2 s+ e, X: S+ H. Isetup
Important
book
2 ?& J8 |  w  O5 J& D# [: c" Qemail
PassWord

! N- Y4 ^$ z) |  b7 G1 d3 d5 }<ext>通常是exe,com,pif,scr

16.在所有分(不含CD-ROM分區)的根目錄下創建文件Autorun.inf，並將其拷貝為該文件夾下的Command.com
* c! T# Z7 w" _/ w3 ~& k, Q*如果雙擊該圖標，病毒將被運行．

/ ~4 {0 m; t3 h# ^5 q$ Y9 }2 n17.病毒掃瞄所有硬盤分區，一旦發現分區屬於移動硬盤，映射驅動器或者分區號超過E，則病毒將執行如下操作：
嘗試將所有擴展名為.exe的文件其擴展名改成.zmx
將這些文件的屬性設成「隱藏」和「系統」
將自身拷貝為原始文件名
6 \% _+ U5 A2 |7 y2 `" m" \例如：病毒發現文件temp.exe，它將把文件更名為temp.zmx，並將自己的一個拷貝改名為temp.exe
" Z) g6 v4 O: c& B6 ^8 r
3 Z% m$ {& W0 \5 E18.通過DCOM RPC漏洞(基於TCP協議的135端口)，嘗試攻擊其他機器
' r4 ^* z( h) d2 d- {' b! A0 h  f2 R
19.通過各種郵件客戶端程序(包括OE)，回復郵箱裡的所有來信
) K( ]' j- R4 r, g* f例如： 原始郵件如下：
9 n; \) C5 ^1 iSubject: <subject>
From: <someone>@<somewhere.com>
7 C8 k  }/ ^, v) M9 `/ ^8 F: LMessage: <original message body>

病毒嘗試發送如下郵件：
Subject: Re: <subject>
% r; Y: Z; W2 RTo: <someone>@<somewhere.com>
% C; n8 j# A* A5 h  [Message:
# N' \9 C! H$ R, G8 p7 \! P<someone> wrote:
5 P4 D$ F6 [7 Y====
> <original message body>
>
  m  {: I: _& I6 r====
8 ^/ E# C7 O$ ^: z9 `0 Q9 {/ u- M
<senders domain> account auto-reply:
後邊通常是：
If you can keep your head when all about you
Are losing theirs and blaming it on you;
3 `4 \* ]5 w3 v* M  C6 yIf you can trust yourself when all men doubt you,
2 K7 i' t9 o1 I' w5 LBut make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,dont deal in lies,
+ ?0 A! V( |0 C( fOr, being hated, dont give way to hating,
. L. q) Y% l8 d3 u0 Y, UAnd yet dont look too good, nor talk too wise;
... ... more look to the attachment.

> Get your FREE <senders domain>now! <
2 Y2 j2 H- b3 `5 n
附件通常是下邊中的一個：
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
0 V+ c0 i9 u7 ?) x. o" h; x- cs3msong.MP3.pif
; A5 M5 s: g1 J# L$ K6 W5 kMe_nude.AVI.pif
2 @( }& \/ A; B9 w9 rHow to Crack all gamez.exe
0 X6 \# n& W& o( `4 x5 vMacromedia Flash.scr
, D4 F- K7 D/ N" Y# @; MSETUP.EXE
0 M2 }5 o( P2 l# `6 l5 FShakira.zip.exe
dreamweaver MX (crack).exe
# X$ k$ o- d$ m! I4 C( }9 KStarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
' K5 [) \, ~$ A( CBritney spears nude.exe.txt.exe
* U  R8 }8 S) B+ d. H' w. nI am For u.doc.exe
2 B  @; n- X6 B, C) L; {1 a0 @) b
" k  N5 p, ~+ I$ {
20.掃瞄系統的WAB文件，Internet臨時文件夾，映射驅動器，以及內存，將自身通過收集到的郵件地址發送出去。
. `6 Q  X/ F# a9 S' M, @8 M1 c2 W
21.病毒遍歷所有硬盤分區以及內存，在擴展名是下列幾種的文件中收集E-mail地址：
.txt
.htm
9 G# F- Q# }4 ]" n1 g  i.sht
! b" G# P, _. f6 \$ h' o.php
.asp
* `1 Y2 {/ N2 I: i.dbx
.tbb
.adb
.pl
& U4 ~5 J/ h1 e* t2 l9 X.wab
4 i, L1 Y% b' G  t
. I& g* @3 v4 r9 G% x/ r" A22.使用其自身攜帶的SMTP引擎，發送郵件
郵件如下：
! d# l# ?) T) {! d- ~發送人: 發送人的姓名在病毒攜帶的列表裡隨機尋找一個

5 D  ]" ?6 n& T3 q" w, W6 T. ^標題: 郵件的主題通常是下邊的一個:
( A; D* v: F1 z, H$ _+ [$ ~. g
  `. Z& \7 l8 M3 V; [1 |test
hi
, @+ V4 b6 k1 Hhello
) A( w% P% F8 ?+ r' H- `6 C/ s& bMail Delivery System
% h+ h) b8 n! ^! mMail Transaction Failed
Server Report
Status
, p8 F0 h+ k  Q- \0 HError

正文: 郵件內容通常是下邊的一個:

Its the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
4 k  H* V; w" o* g2 xMail failed. For further assistance, please contact!

" d0 H, w8 Q" n2 t' R+ t/ q附件: 隨機創建文件名，並生成如下擴展名:
6 r2 ?0 M  y$ ^6 }
) b) g' i9 s6 p& C.exe
.scr
& m9 z5 ^1 d% ?+ T: I.pif
.cmd
3 q/ x# a) G7 O.bat
.zip
.rar

自己搜索的...
0 Z! x2 B, |6 \俺中這個病毒無數次...每次都頭大...

CENFANG--來自aisoho，應該是我們這裡的vip會員