Win32.Lovgate.H

王朝百科·作者佚名 2010-01-29

宽屏版字体: 小|中|大|超大

病毒名称：Win32.Lovgate.H

其它名称：W32.HLLW.Lovgate.G@mm

病毒属性：蠕虫病毒危害性：中等危害流行程度：中

具体介绍：

Lovgate.H是一种通过电子邮件以及网络共享传播的蠕虫病毒。蠕虫对Windows 9x的操作系统不起作用。

运行时，蠕虫以下面这些文件名拷贝自己的副本到系统目录下：

RAVMOND.EXE

WINHELP.EXE

WINGATE.EXE

IEXPLORE.EXE

WINDRIVER.EXE

WINRPC.EXE

KERNEL66.DLL （隐藏文件）

蠕虫文件的大小为107,008字节。

蠕虫会以"winrpc.exe %1"替换原来注册表中HKCRxtfileshellopencommand下的键值，以便用户一打开文本文件蠕虫就被自动调用。

蠕虫还修改下面2个注册表键值，以便Windows一启动蠕虫就自动运行：

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows,

"Programs"="com exe bat pif cmd"

"run" = "RAVMOND.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,

"WinHelp" = "C:WINNTSystem32WinHelp.exe"

"WinGate initialize" = "C:WINNTSystem32WinGate.exe -remoteshell"

"Remote Procedure Call Locator" = "RUNDLL32.EXE reg678.dll ondll_reg"

"Program In Windows" = "C:WINNTSystem32IEXPLORE.EXE"

Lovgate.H 可以将自身注册为一个服务：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Instrumentation Driver Extension

"ImagePath" = "%SYSTEMWinDriver.exe - start_server"

蠕虫通过邮件传播，但有两种不同的方式。第一种是使用MAPI来回复用户收件夹中的邮件，这些看起来像正式的回复邮件，都引用原文，并有下列这些特征：（[ ]符号中的是可变的）

主题：

Re: [original subject]

正文：

'[recipient name]' wrote:

====

[Original message (each line prefixed with">")]

====

> Get your FREE [recipient domain] account now! <

蠕虫只引用原文的前512字节内容，如果原始邮件的内容多于512字节，那其他将以。。。。表示。

附件：名称随机

第2种方式则是蠕虫直接使用SMTP服务器发送带毒邮件。蠕虫会搜索"我的文档"中的所有.htm文件，找出目标邮件地址。

蠕虫利用ipc进行guest和Administrator账号的多个简单密码试探。如果成功，蠕虫会以NetServices.exe为文件名拷贝自己到远程计算机的系统目录下，并创建一个服务"Microsoft NetWork FireWall Services"。蠕虫还会生成一个自己的副本文件，而文件名则是下面中的一个：

"MSN Password Hacker and Stealer.exe"

"SIMS FullDownloader.zip.exe"

"Winrar + crack.exe"

。。。。。。。

"The world of lovers.txt.exe"

"autoexec.bat"

"Are you looking for Love.doc.exe"

蠕虫会把自身的木马功能部分解压缩到一个DLL库文件中，以便以此木马以一个单独程序来运行。下面这4个DLL文件的大小都为81,920字节：

reg678.dll

Task688.dll

111.dll

ily668.dll.