搜索
查看: 875|回复: 3

“爱之门”(W32.HLLW. Lovegate)病毒

[复制链接]
2003-5-30 21:46:53

主题

好友

1048

积分

管理员

日前一个名叫“爱之门”(W32.HLLW. Lovegate)的病毒已经开始在国际互联网上开始迅速传播,它可以把受到感染的计算机中所有文件进行完全共享,并会制动通过被病毒感染的计算机进行传播,这足以给全球的计算机用户的信息安全带来空前的威胁。  
  该病毒在2月20日出现,报告显示目前在国内已经发现数十例用户电脑被感染。据率先发现该病毒的交大铭泰信息安全中心的负责人表示,“爱之门”是一种蠕虫病毒,感染长度为77,312字节,主要通过Outlook电子邮件和文件共享软件进行传播,速度相当快,可以感染Windows 9X, Windows Me Windows NT, Windows 2000, Windows XP系统。

  病毒运行时会复制自己到系统目录%System%:文件名随机如下WinRpcsrv.exe、syshelp.exe、winrpc.exe、WinGate.exe、rpcsrv.exe,并自动搜索本地文件目录,如果找到后缀名是.ht*的,就从这些文件中找到邮件地址,并发感染的邮件病毒。

  如果是Windows95/98/ME系统,病毒会在win.Ini文件的windows节中加上如下一行.run=rpcsrv.exe。病毒生成木马文件,并把木马文件复制到系统下。ily.dll,task.dll,reg.dll,1.dll,并自动修改注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows  

  CurrentVersionRun键上,增加如下值syshelp、%system%syshelp.exe WinGate initialize %system%WinGate.exe–remoteshell、Module Call initialize  

  RUNDLL32.EXE reg.dll ondll_reg,病毒还修改HKEY_CLASS_ROOT xtfileshellopencommand的缺省键值为winrpc.exe %1搜寻网络共享目录和子目录,监听10168端口,并提供个黑客一个带口令的命令执行程序。

  如果病毒感染的是Windows NT, 2000, or XP系统,病毒会复制到%System%ssrv.exe文件,并在HKEY_LOCAL_MACHINESoftwareKittyXP.sqlInstall上添加键值。

  在HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows键上,增加如下值run rpcsrv.exe。启动木马作为Windows Management Extension服务。遍历本地网络,试图用123,321 123456、654321、guest、administrator、admin、111111、666666、888888、abc、abcdef、abcdefg、12345678、abc123这些密码登录其他计算机。
回复 举报
2003-5-30 21:47:13

主题

好友

1048

积分

管理员

美国微软、美国网络协会(Network Associates)和趋势科技三家公司日前宣布,联合成立了向客户提供计算机病毒信息的联盟“病毒信息联盟(VIA)”。目前正值新型蠕虫病毒“Palyh”通过电子邮件及LAN扩散,可以说时机非常恰当。这一蠕虫病毒的肆虐,再次证明了让公众充分了解病毒信息的重要性。  

  Palyh又称“Mankx”,作为发件人使用虚假的地址“support@microsoft.com”。该邮件附带扩展名为“pif”的、可在Windows中起动程序的感染文件,并在正文中写有“all information is in the attached file.(详细信息请看附件)”。  

  通过伪装地址或附带上述信息来麻痹用户,并引诱用户运行附件的手段并不新鲜。利用邮件软件的地址簿来扩散感染的方法也与其它病毒相同。另外,杀毒软件开发商已经更新了病毒检测数据,并做好了针对这一病毒的防范措施。而且,Outlook的最新版(Office XP中的“2002版本”)为避免起动pif文件做了缺省设置,此前的Outlook 2000安装了Service Release2以后的新补丁后,也不会随意起动pif文件。总之,只要掌握正确的防范常识并采取相应措施就足以对付Palyh。  

  加入VIA的微软和伙伴企业,考虑在向客户公布病毒威胁信息的同时发出病毒警报等,来控制这种病毒的蔓延。虽然有一些亡羊补牢的感觉,但VIA将设立病毒信息中心(Virus Information Center),提供病毒技术信息及旨在防止受害的信息。各成员都计划提供白皮书等旨在防止病毒蔓延的各种资源。网站信息提供将由网络协会和趋势科技负责。虽然微软呼吁所有杀毒软件开发商加入VIA,但目前只有两家公司加入。目前微软正期待着其它同业公司的加盟。
回复 举报
2003-5-30 21:47:59

主题

好友

1048

积分

管理员

解决方法:
http://securityresponse1.symantec.com/sarc...vgate.c@mm.html

W32.HLLW.Lovgate.C@mm 是 W32.HLLW.Lovgate@mm 的變種。 此病蟲包含了大量傳送郵件攻擊與後門程式功能。

為了散播,當它進入特定 MAPI-compliant 電子郵件用戶端信箱,包括 Microsoft Outlook 時,此病蟲會企圖回應所收到的郵件。W32.HLLW.Lovgate.C@mm 以此倣效郵件用戶自動回應功能,來誘騙寄件用戶開啟由被感染電腦所回覆的郵件。

W32.HLLW.Lovgate@mm 與此變種並沒有主要功能上的不同。 此變種使用不同的編輯器重新編輯,並與W32.HLLW.Lovgate@mm.使用同一壓縮工具。

注意: 2003 年 2 月 23 日以前的定義將會偵冊此威脅為 W32.HLLW.Lovgate@mm。2003 年 2 月 24 日及以後的定義將會偵測此威脅為 W32.HLLW.Lovgate.C@mm。



也稱做: WORM_LOVGATE.C [Trend], Win32/Lovgate.C@mm [RAV], W32/Lovgate.c@M [McAfee], I-Worm.Supnot.c [KAV], W32/Lovgate-B [Sophos], Win32.Lovgate.C [CA]
變異型病毒: W32.HLLW.Lovgate@mm, W32.HLLW.Lovgate.B@mm
類型: Worm
感染長度: 78,848 Bytes
受影響的系統: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影響的系統: Windows 3.x, Macintosh, OS/2, UNIX, Linux


病毒定義檔 (Intelligent Updater) *
2003.02.24


病毒定義檔 (LiveUpdate™) **
2003.02.24


*
智慧更新程式 (Intelligent Updater) 的病毒定義檔每天都會更新,但是您需要手動下載與安裝。
請按這裡來手動下載。

**
LiveUpdate 病毒定義檔通常是每星期三會發佈。
關於使用 LiveUpdate 的指示,請按這裡。








兇猛:

感染數量: 50 - 999
站台數量: 大於 10
地理區域分佈: 中
威脅控制: 簡單
移除能力: 中等
威脅方式

         
兇猛 :

損害:

散佈:





散佈

電子郵件主旨: Chosen from a pre-defined list
附件名稱: Chosen from a pre-defined list
附件大小: 78,848 Bytes


當W32.HLLW.Lovgate.C@mm執行時,將會進行下列活動:
1. 將本身覆製到 %System% 文件夾為下列檔案:

WinRpcsrv.exe
Syshelp.exe
Winrpc.exe
WinGate.exe
Rpcsrv.exe

注意: %System% 是一個變數。 此病蟲會找出 System(系統)文件夾並覆製本身到其位置。預設值為 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP)。
2. 若被感染的電腦是使用 Windows 95/98/Me, 將會加入:

run=rpcsrv.exe

到 在Win.ini檔案的[windows] 區域。

3. 複製下列檔案至 %System% 文件夾並執行 :
ily.dll
Task.dll
Reg.dll
1.dll

注意: 這些檔案為 W32.HLLW.Lovgate.C@mm 後門特洛依木馬程式的一部分。 賽門鐵克防病毒產品將其識別為 Backdoor.Trojan。
4. 新增下列值:
syshelp %system%\syshelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg

加入登錄鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

5. 改變下列登錄鍵的預設值:
HKEY_CLASS_ROOT\txtfile\shell\open\command


winrpc.exe %1

6. 覆製其本身成下列檔案到所有的網路共享文件夾與子文件夾:
Pics.exe
Images.exe
Joke.exe
Pspgame.exe
News_doc.exe
Hamster.exe
Tamagotxi.exe
Searchurl.exe
Setup.exe
Card.exe
Billgt.exe
Midsong.exe
S3msong.exe
Docs.exe
Humor.exe
Fun.exe
7. 監聽 TCP 10,168 埠並由電子郵件通知駭客。 此病蟲有例行密碼確認。 在鍵入正確密碼後,此病蟲將為駭客開啟指令解釋程式。
8. 搜尋下列文件夾:
.\ (此為病蟲執行的文件夾)
winpath\
下列登錄值列出的文件夾:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders&#092ersonal

9. 若病蟲在之前提過的文件夾中找到任何副檔名以”ht”開頭的檔案,它將會試圖從這些檔案取得所有的電子郵件位址,並建立有 W32.HLLW.Lovegate.C@mm 感染附加檔的電子郵件,然後將感染郵件寄到在 .ht* 檔案中所找到的位址。
10. 它試圖回應所有 MAPI-compliant 電子郵件用戶端 (包括Microsoft Outlook)信箱中的電子郵件。 由於程式碼的錯誤,電子郵件可能不會被成功送出。

若原始電子郵件為:
主旨: <subject>
寄件者: <username>@<hostname>
內文: <original message body>

病蟲會試圖送出下列郵件:

主旨: Re: <subject>
To: SMTP:<someone>@<somewhere.com>
內文:
&#39;<someone>&#39; wrote:
===
> <original message body>
>
===

<somewhere.com> account auto-reply:

&#39; I&#39;ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion&#33; &#39;

> Get your FREE <somewhere.com> account now&#33; <

隨電子郵件送出的附件檔案名稱是由與病蟲使用網路例行傳播相同的清單中選出來的。 檔案名稱可以是下列任何一種:
Pics.exe
Images.exe
Joke.exe
Pspgame.exe
關於完整的清單,請參照此章節的步驟六。

NT/2000/XP上的額外活動
若受感染的電腦是執行 Windows NT, 2000, 或XP, 病蟲將進行下列活動:

1. 複製本身為 %System%&#092;Ssrv.exe.

注意: %System% 是一個變數。 此病蟲會找出系統(System)文件夾並覆製本身到其位置。預設值為 C:&#092;Windows&#092;System (Windows 95/98/Me), C:&#092;Winnt&#092;System32 (Windows NT/2000), or C:&#092;Windows&#092;System32 (Windows XP).

2. 建立登錄鍵:
HKEY_LOCAL_MACHINE&#092;Software&#092;KittyXP.sql&#092;Install

3. 新增下列值:
run rpcsrv.exe

加入登錄鍵:
HKEY_CURRENT_USER&#092;Software&#092;Microsoft&#092;Windows NT&#092;CurrentVersion&#092;Windows

4. 若病蟲偵測到?#092;行中的程序 "LSASS.EXE" 時,它將試圖創建一個遠端執行緒並將其注入該程序。
5. 開啟後門特洛伊木馬部分為"Windows Management Extension"服務。
6. 在區域網路上完整掃瞄電腦並使用下列密碼試圖以”系統管理員”登入。
<empty.password>
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
注意: <empty.password> 是一個變數值,代表空白的密碼.
7. 若病蟲成功的登入遠端電腦,它將把本身複製為:

&#092;&#092;<remote.computer.name>&#092;admin&#036;&#092;system32&#092;stg.exe

然後它將以"Microsoft NetWork Services FireWall"的服務試圖開啟遠端電腦上的檔案。

注意: <remote.computer.name> 是一個變數, 代表著遠端電腦的名稱。

電子郵件常式詳細資訊

為了複製,病蟲會使用本身的SMTP引擎來建立電子郵件訊息,並加入被感染的附加檔案至電子郵件中,然後大量寄出感染的電子郵件。訊息會是下列其中一種:

主旨: Documents
附件: Docs.exe
內文: Send me your comments...

或:
主旨: Roms
附件: Roms.exe
內文: Test this ROM&#33; IT ROCKS&#33;.

或:
主旨: Pr0n&#33;
附件: Sex.exe
內文:: Adult content&#33;&#33;&#33; Use with parental advisory.

或:
主旨: Evaluation copy
附件: Setup.exe
內文:: Test it 30 days for free.

或:
主旨: Help
附件: Source.exe
內文:: I&#39;m going crazy... please try to find the bug&#33;

或:
主旨: Beta
附件: _SetupB.exe
內文:: Send reply if you want to be official beta tester.

或:
主旨: Do not release
附件: Pack.exe
內文:: This is the pack ;)

或:
主旨: Last Update
附件: LUPdate.exe
內文: This is the last cumulative update.

或:
主旨: The patch
附件: Patch.exe
內文:: I think all will work fine.

或:
主旨: Cracks&#33;
附件: CrkList.exe
內文:: Check our list and mail your requests&#33;

Symantec ManHunt
要明確的偵測到 W32.HLLW.Lovgate.C@mm 的威脅, Symantec 建議 Symantec ManHunt 產品用戶開啟 HYBRID MODE 功能並應用下列自定規則:

*******************start file********************

alert tcp any 10168 -> any any (msg:"W32.HLLW.Lovgate.C@mm backdoor login attempt"; content:"Sorry, Your PassWord Not Right.";)

*************EOF*********************

將在駭客企圖登入無法成功時觸發而。

*******************start file********************

alert tcp any 10168 -> any any (msg:"W32.HLLW.Lovgate.C@mm backdoor login success"; content:"OK&#33; Please Enter:";)

*************EOF*********************

將在駭客成功登入時被觸發。 關於更多如何創建自訂簽章的訊息,請參閱 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."






「賽門鐵克安全機制應變中心」建議所有的使用者與管理員遵照下列基本的安全手則「最佳範例」執行管理:

關閉並移除不必要的服務。很多作業系統會預設安裝非必要的附屬服務項目,例如 FTP 用戶端、telnet 以及 Web 伺服器。這些服務等於提供了病毒攻擊的目標。當這些服務移除之後,混合型威脅就比較不容易找到下手的目標,同時您在進行系統的修補更新時也不需要維護很多的服務。
如果混合型威脅偵測到一個以上的網路服務,在執行修補程式之前請先關閉或封鎖存取這些服務。
永遠保持您的修補程式在最新的狀態,特別是針對那些代管公共服務以及可以透過防火牆存取的服務主機,例如 HTTP、FTP、郵件以及 DNS 服務。
強制施行密碼原則。在遭到破壞的電腦上,複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來,當電腦遭受破壞時,可以有效降低資料的損害程度。
請將您的郵件伺服器設定為封鎖或移除所有內含.vbs、.bat、.exe、.pif 與 .scr 等副檔名之附件的郵件。
接著將這些受感染的電腦快速隔離到網路外,以避免危害整個公司的?#092;作。這時候請仔細檢查這些受感染的電腦,並使用可信賴的媒體來還原至可用狀態。
訓練員工不要開啟含有上述副檔名的郵件,除非已事先知情這些郵件內容。同時,不要執行從 Internet 上下載的軟體,除非他們已經掃毒過。當您造訪一個受感染的網站時,如果您的瀏覽器未安裝好弱點修補程式的話,您的電腦很容易就會受到感染。



這些指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。

1. 恢復所有病蟲對登錄所做的變更。
2. 刪除加入到檔案 Win.ini 的內容 (僅適用於Windows 95/98/Me)。
3. 重新啟動電腦。
4. 更新病毒定義檔。
5. 執行完整的系統掃描,刪除所有偵測到的 W32.HLLW.Lovgate.C@mm 或 Backdoor.Trojan。

如需關於這些程序的詳細資訊,請閱讀下列指示。

1. 恢復所有病蟲對登錄所做的變更
注意: 修改登錄之前,賽門鐵克強烈建議您先備份登錄。 對登錄的修改如果有任何差錯,嚴重時將會導致資料遺失或檔案受損。 只修改指定的登錄鍵。 如需詳細指示,請閱讀「如何為 Windows 登錄進行備份」文件。
a. 按下「開始」,然後按下「執行」。 (畫面上便會出現「執行」對話方塊。)
b. 鍵入
regedit

然後按下「確定」。 (「登錄編輯器」會開啟)

c. 跳到這個鍵:
HKEY_LOCAL_MACHINE&#092;SOFTWARE&#092;Microsoft&#092;Windows&#092;CurrentVersion&#092;Run

d. 刪除右邊窗格中的值:
syshelp
WinGate initialize
Module Call initialize

e. 跳到這個鍵:
HKEY_CLASS_ROOT&#092;txtfile&#092;shell&#092;open&#092;command

f. 在右邊窗格中改變值為:
notepad.exe %1

g. 跳到這個鍵:
HKEY_CURRENT_USER&#092;Software&#092;Microsoft&#092;Windows NT&#092;CurrentVersion&#092;Windows

h. 刪除右邊窗格中的值: run

i. 刪除下列登錄鍵:
HKEY_LOCAL_MACHINE&#092;Software&#092;KittyXP.sql

j. 結束並離開「登錄編輯程式」。

2. 刪除加入到檔案 Win.ini 的內容 (僅適用於Windows 95/98/Me)
如果使用的是 Windows 95/98/Me:
a. 您所進行的功能取決於您的作業系統:
Windows 95/98: 跳至步驟 b.
Windows Me: 若您執行的是Windows Me,Windows Me檔案保護或許會有Win.ini檔案的備份可讓您編輯。 若此檔案存在, 它將會在C:&#092;Windows&#092;Recent檔案夾中. 賽門鐵克建議您在繼續進行本節步驟之前,先刪除此檔。 要這麼做:
啟動「Windows 檔案總管」。
瀏覽並選擇 C:&#092;Windows&#092;Recent檔案夾
在右方框中,選擇Win.ini檔案並將其刪除。 當您在步驟f中存檔改變時,Win.ini檔案將被再更新。
b. 按下「開始」,然後按下「執行」。
c. 輸入下列文字,然後按下「確定」。
edit c:&#092;windows&#092;win.ini

接著會開啟 MS-DOS 編輯器。

注意﹕ 如果 Windows 安裝在不同位置,請做適當的路徑變更。

d. 在檔案中的 [windows] 區段,尋找開頭如下的字行:
run=rpcsrv.exe

e. 若此行存在,請選擇此項。 請確定您未選取檔案中其它文字,然後按下「刪除」。
f. 按下「檔案」,再按下「存檔」。
g. 按下「檔案」,然後按下「離開」。

3. 重新啟動電腦
依照平時慣例重新啟動電腦

4. 更新病毒定義檔
賽門鐵克安全機制應變中心在將所有病毒定義檔公佈於伺服器之前已完成品質測試。 您可以使用下列兩種方式來取得最新的病毒定義檔:
執行 LiveUpdate 是獲得病毒定義檔的最簡單方法。 這些病毒定義檔會每星期一次更新到 LiveUpdate 伺服器上 (通常是星期三),當有疫情發生時則例外。 如需確定 LiveUpdate 是否提供關於此病蟲威脅的定義檔,請參閱本文頁首「防護」一節中的「病毒定義檔 (LiveUpdate)」。
使用 Intelligent Updater 下載定義檔。 Intelligent Updater 的病毒定義檔會在美國的工作日 (星期一到星期五) 公佈。 您必須由「賽門鐵克安全機制應變中心」網站手動下載及安裝定義檔。 若想知道 Intelligent Updater 是否已有此威脅的定義檔,請查看本文頁首「防護」一節的「病毒定義檔 (Intelligent Updater)」。

您可在此處取得 Intelligent Updater 病毒定義檔。如需關於如何從「賽門鐵克安全機制應變中心」網站下載及安裝 Intelligent Updater 病毒定義檔的詳細資訊,請按下這裡。

5. 掃描並刪除受感染的檔案
a. 啟動您的賽門鐵克防毒程式,確定已架構為掃描所有檔案。
Norton AntiVirus 消費者產品: 請閱讀「如何設定 Norton AntiVirus 以掃描所有檔案」文章。
賽門鐵克企業版防毒產品: 請閱讀「如何確認 Symantec Corporate 防毒產品已設定為掃描所有檔案」文章。
b. 執行完整系統掃描。
c. 如果偵測到任何受 W32.HLLW.Lovgate.C@mm 或 Backdoor.Trojan 感染的檔案,請按下「刪除」。




報導撰寫人: Tony Conneff & Neal Hindocha
回复 举报
2003-5-31 18:19:27

主题

好友

948

积分

县令

哎……
所谓信息,文件,病毒,都是些虚幻的东西,看的淡泊一些好。
回复 举报

本版积分规则

Archiver|手机版|Langya.Org ( 浙ICP备05062527号-1 )

GMT+8, 2021-4-11 10:07 , Processed in 0.067107 second(s), 20 queries .

Powered by Discuz! X3.4 Licensed © 2001-2012 Comsenz Inc. Design by 360cd.cn

返回顶部