“爱情后门”病毒
“爱情后门变种T”病毒会搜索系统中的所有可执行文件,在尾部加入一个远程窃取信息的病毒模块,只要被感染的文件运行,就会激活该病毒模块,然后搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中,通过网络泄露出去。
病毒运行时还会将自己复制到系统目录下,通过修改注册表和WIN.INI文件两种方式进行自启动,大大增强了病毒运行的可能性,病毒被激活时会通过猜密码的方式来破译局域网计算机的管理员密码,取得最高权限,成功后便能控制该计算机,如果不能成功,病毒还会将自己拷贝到局域网计算机的共享目录下,来诱使局域网中的其它计算机用户运行该病毒。
病毒运行时还会给系统开后门,并且每隔一小时就会向病毒作者发送一封记录被感染计算机IP信息的信件,使病毒作者能控制用户计算机。该病毒还会搜索用户的E-MAIL地址,然后通过发送大量病毒邮件来进行网络传播,并极有可能会阻塞网络。
为了防止该病毒给国内局域网及个人用户带来影响,瑞星公司已于第一时间对该病毒进行了处理,瑞星杀毒软件15.62版本可以彻底清除该病毒,对于手中没有杀毒软件的用户,瑞星提供了在线杀毒和病毒专杀工具两种方式清除该病毒,用户可以登陆:online.rising.com.cn,使用在线杀毒或登陆it.rising.com.cn/service/technology/tool.htm使用该病毒的专杀工具进行清毒。
“爱情后门变种T”病毒的详细发作现象:
1. 感染系统文件、偷盗密码
感染系统中的所有可执行文件,在这些文件尾部加入一个通过远程窃取信息的模块,该病毒模块的作用是搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中。
2. 超强的病毒感染与启动能力。
病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒体分别感染系统,并修改相应的注册表和启动文件win.ini(在其中加入:run=rpcsrv.exe)进行自启动。
3. 通过密码试探试图控制局域网计算机
病毒会利用远程连接指令对局域网中的有guest和Administrator账号的计算机进行简单密码试探,如果成功将自己复制到对方的sytem32目录中,命名为:stg.exe,并注册成Window Remote Service服务来感染对方计算机,同时放出一个名为win32vxd.dll的盗密码文件,以盗取用户密码。
4. 建立后门,威胁局域网安全。
病毒会使用10168端口在系统中建立一个后门,等待外界用户连入,对用户计算机进行远程控制。
5. 疯狂进行局域网传播
病毒运行时会不停地搜索网络资源,导致整个局域网资源被占用,如果发现有共享目录,则将自身复制过去,病毒文件名有以下几种可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe,joke.exe,images.exe,pics.exe,来诱使用户运行病毒,造成局域网病毒泛滥。
6. 发送病毒邮件,阻塞网络。
病毒运行时会通过注册表来搜索电脑中的email地址,然后向这些地址发送大量的带毒邮件来阻塞网络。
邮件标题随机从以下字符串中选出:
Cracks!The patchLast UpdateTest this ROM! IT ROCKS!。Adult content!!! Use with parental adviCheck our list and mail your requests!I think all will work fine.Send reply if you want to be official bTest it 30 days for free.
7. 不断通知病毒作者。
病毒运行后,会每隔1小时发送一次通知邮件到病毒作者的一个信箱,邮件的标题为:xyz123xyz123,内容为中毒系统的IP地址信息,当病毒作者收到病毒通知信件后,就可以利用病毒开的后门对用户计算机进行远程控制,为所欲为。