W32.HLLW.Lovgate.C@mm
发现: 2003 年 2 月 24 日
更新: 2007 年 2 月 13 日 11:43:50 AM
别名: WORM_LOVGATE.C [Trend], Win32/Lovgate.C@mm [RAV], W32/Lovgate.c@M [McAfee], I-Worm.Supnot.c [KAV], W32/Lovgate-B [Sophos], Win32.Lovgate.C [CA]
类型: Worm
感染长度: 78,848 Bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
W32.HLLW.Lovgate.C@mm 是 W32.HLLW.Lovgate@mm 的变种。 此蠕虫包含大量群发邮件攻击和后门程序功能。
为了将自己传播,此蠕虫会试图回应 MAPI-compliant 邮件客户端(如 Microsoft Outlook)邮箱所收到的邮件。W32.HLLW.Lovgate.C@mm 以此仿效邮件用户自动回应功能,诱骗寄件用户打开由被感染计算机所回复的邮件。
W32.HLLW.Lovgate@mm 与此变种并没有主要功能上的不同。此变种经由一个不同的编译器重新编译,并与 W32.HLLW.Lovgate@mm 使用同一压缩工具。
注意: 2003 年 2 月 23 日以前的病毒定义会将此威胁确认为 W32.HLLW.Lovgate@mm。2003 年 2 月 24 日及以后的病毒定义会将此威胁确认为W32.HLLW.Lovgate.C@mm。
防护
* 病毒定义(每周 LiveUpdate™) 2003 年 2 月 24 日
* 病毒定义(智能更新程序) 2003 年 2 月 24 日
威胁评估
广度
* 广度级别: Low
* 感染数量: 50 - 999
* 站点数量: More than 10
* 地理位置分布: Medium
* 威胁抑制: Easy
* 清除: Moderate
损坏
* 损坏级别: Medium
分发
* 分发级别: High
* 电子邮件的主题: Chosen from a pre-defined list
* 附件名称: Chosen from a pre-defined list
* 附件大小: 78,848 Bytes
* 端口: TCP 10168, 1192, 20168
当 W32.HLLW.Lovgate.C@mm 运行时,会有以下活动:
1. 以下列之一为文件名将自身复制到 %System% 文件夹:
* WinRpcsrv.exe
* Syshelp.exe
* Winrpc.exe
* WinGate.exe
* Rpcsrv.exe
注意: %System% 是一个变量。蠕虫会找到并复制自己到系统 System(系统)文件夹。默认位置为 C:WindowsSystem (Windows 95/98/Me),C:WinntSystem32 (Windows NT/2000),或 C:WindowsSystem32 (Windows XP)。
2. 如果受感染的计算机运行 Windows 95/98/Me,会将
run=rpcsrv.exe
加入到 Win.ini 文件的 [windows] 部分。
3. 将下列文件复制到 %System% 文件夹后运行它们:
* ily.dll
* Task.dll
* Reg.dll
* 1.dll
注意:这些文件是 W32.HLLW.Lovgate.C@mm 的后门特洛伊木马程序部分。赛门铁克防病毒产品将它们识别为 Backdoor.Trojan。
4. 将下列值:
syshelp %system%syshelp.exe
WinGate initialize %system%WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
加入注册键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
5. 将下面注册键的默认值:
HKEY_CLASS_ROOTxtfileshellopencommand
改为:
winrpc.exe %1
6. 将其本身以下列文件名复制到所有的网络共享文件夹及其子文件夹:
* Pics.exe
* Images.exe
* Joke.exe
* Pspgame.exe
* News_doc.exe
* Hamster.exe
* Tamagotxi.exe
* Searchurl.exe
* Setup.exe
* Card.exe
* Billgt.exe
* Midsong.exe
* S3msong.exe
* Docs.exe
* Humor.exe
* Fun.exe
7. 监听 TCP 10168 埠上的通讯并用电子邮件通知骇客。 此蠕虫有例行密码确认。 在键入正确密码后,蠕虫将为骇客打开命令解释程序。
8. 搜索下列文件夹
* . (这是蠕虫执行的文件夹)
* winpath
* 下列注册键值中列出的文件夹:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal
9. 若蠕虫在之前提到的文件夹中找到任何扩展名以”ht”开头的文件,它将会试图从这些文件取得其中的电子邮件地址,编写一个含有 W32.HLLW.Lovegate.C@mm 感染附件的电子邮件,并将其寄到在这些 .ht* 文件中找到的地址。
10. 当它们进入 MAPI-compliant 邮件客户端(如 Microsoft Outlook)邮箱时会试图回复其中收到的所有邮件。由于程序源代码中的一个错误,电子邮件可能不会被成功送出。
若原始邮件为:
主题: <subject>
发件人: <username>@<hostname>
邮件正文: <original message body>
蠕虫会试图发出下列邮件:
主题: Re: <subject>
收件人: SMTP:<someone>@<somewhere.com>
邮件正文:
'<someone>' wrote:
===
> <original message body>
>
===
<somewhere.com> account auto-reply:
' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE <somewhere.com> account now! <
电子邮件附件文件名清单与其在网络中传播时使用的文件名清单一样,其文件名会是下列之一:
o Pics.exe
o Images.exe
o Joke.exe
o Pspgame.exe
完整的清单见本部分的步骤 6。
NT/2000/XP 上的额外活动
如果受感染的电脑运行 Windows NT, 2000, 或 XP,蠕虫会执行下列操作:
1. 复制自身为 %System%Ssrv.exe。
注意: %System% 是一个变量。蠕虫会找到并复制自己到系统(System)文件夹。默认位置为 C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),或 C:WindowsSystem32 (Windows XP)。
2. 创建下列注册键:
HKEY_LOCAL_MACHINESoftwareKittyXP.sqlInstall
3. 将下列值:
run rpcsrv.exe
加入注册键:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
4. 如果蠕虫探测到进程 "LSASS.EXE",它会试图在该进程中创建一个远端线程并将其加入该进程。
5. 将后门特洛伊木马程序以 "Windows Management Extension" 服务的形式打开。
6. 在本地网络上扫描所有计算机,并使用下列密码来试图以 "administrator" (系统管理员)身份登录。
* <empty.password>
* 123
* 321
* 123456
* 654321
* guest
* administrator
* admin
* 111111
* 666666
* 888888
* abc
* abcdef
* abcdefg
* 12345678
* abc123
注意: <empty.password> 是个变量,表示密码为空。
7. 如果蠕虫成功登录到远端计算机,它会将自己复制为:
\<remote.computer.name>admin$system32stg.exe
然后,它会试图以 "Microsoft NetWork Services FireWall" 服务的形式在远端计算机上打开文件。
注意: <remote.computer.name> 是个变量,表示远端计算机的名称。
电子邮件例程详细信息
为了复制,蠕虫使用本身的 SMTP 服务来建立电子邮件信息,并将感染的附件加入电子邮件后大量寄出。寄出的信息会是下列之一:
主题: Documents
附件: Docs.exe
邮件正文: Send me your comments...
或:
主题: Roms
附件: Roms.exe
邮件正文: Test this ROM! IT ROCKS!.
或:
主题: Pr0n!
附件: Sex.exe
邮件正文: Adult content!!! Use with parental advisory.
或:
主题: Evaluation copy
附件: Setup.exe
邮件正文: Test it 30 days for free.
或:
主题: Help
附件: Source.exe
邮件正文:: I'm going crazy... please try to find the bug!
或:
主题: Beta
附件: _SetupB.exe
邮件正文:Send reply if you want to be official beta tester.
或:
主题: Do not release
附件:Pack.exe
邮件正文: This is the pack ;)
或:
主题: Last Update
附件:LUPdate.exe
邮件正文:This is the last cumulative update.
或:
主题: The patch
附件: Patch.exe
邮件正文:: I think all will work fine.
或:
主题: Cracks!
附件:CrkList.exe
邮件正文:Check our list and mail your requests!
Symantec ManHunt
为了将此威胁检测为 W32.HLLW.Lovgate.C@mm, 赛门铁克建议 Symantec ManHunt 用户开启 HYBRID MODE 功能并使用下列定制的规则:
*******************start file********************
alert tcp any 10168 -> any any (msg:"W32.HLLW.Lovgate.C@mm backdoor login attempt"; content:"Sorry, Your PassWord Not Right.";)
*************EOF*********************
将显示骇客不成功的侵入尝试,而
*******************start file********************
alert tcp any 10168 -> any any (msg:"W32.HLLW.Lovgate.C@mm backdoor login success"; content:"OK! Please Enter:";)
*************EOF*********************
将显示骇客成功的登录尝试。 更多关于如何创建定制签名的信息请参阅 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
使用 W32.HLLW.Lovgate.C@mm 杀毒工具
这是最简单快速的方法。单击这里获取杀毒工具。
手动删除
作为杀毒工具的替代,您也可以依照下列说明手动删除。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
1. 撤消蠕虫对注册表所做的更改。
2. 删除加入到文件 Win.ini 中的内容(仅适用于 Windows 95/98/Me)。
3. 重新启动计算机。
4. 更新病毒定义。
5. 运行完整的系统扫描,并删除所有检测为W32.HLLW.Lovgate.C@mm 或 Backdoor.Trojan 的文件。
有关每个步骤的详细信息,请阅读以下指导。
1. 撤消蠕虫对注册表所做的更改
警告: Symantec 强烈建议在更改注册表之前先进行备份。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的键。 有关指导请参阅文档:如何备份 Windows 注册表。
1. 单击“开始”,然后单击“运行”。 (将出现“运行”对话框。)
2. 键入
regedit
然后单击“确认”。 (注册表编辑器打开。)
3. 浏览到注册键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4. 在右窗格中,删除下列值:
syshelp
WinGate initialize
Module Call initialize
5. 浏览到注册键:
HKEY_CLASS_ROOTxtfileshellopencommand
6. 在右窗格中,将(默认)值改为:
notepad.exe %1
7. 浏览到注册键:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
8. 在右窗格中,删除值: run
9. 删除值:
HKEY_LOCAL_MACHINESoftwareKittyXP.sql
10. 退出注册表编辑器。
2. 删除加入到文件 Win.ini 中的内容(仅适用于 Windows 95/98/Me)
如果使用的是 Windows 95/98/Me,请执行下列操作:
1. 操作取决于你的操作系统:
* Windows 95/98: 请跳至步骤 b。
* Windows Me: 如果你运行 Windows Me, Windows Me 文件保护程序可能已经为 Win.ini 创建了一个备份。如果该备份存在,它会位于 C:WindowsRecent folder. 赛门铁克建议在继续下一部分中的操作之前删除此文件。 请执行下列操作:
o 启动 Windows 资源管理器。
o 浏览并选中文件夹C:WindowsRecent。
o 在右窗格中,选中 Win.ini file 后将其删除。Win.ini 会在步骤 f 你保存对其的改动时重新产生。
2. 单击“开始”,然后单击“运行”。
3. 键入以下内容,然后单击“确定”:
edit c:windowswin.ini
(MS-DOS 编辑器打开。)
注意: 如果 Windows 安装在其它位置,请用相应的路径代替。
4. 在文件的 [windows] 部分,查找与下列显示相似的项:
run=rpcsrv.exe
5. 如果该行存在,选中文本。 确认你没有选择文件中其它内容后,按 Delete。
6. 单击“文件”,然后单击“保存”。
7. 单击 File,然后单击 Exit。
3. 重新启动计算机。
按照一般步骤启动计算机。
4. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义:
* 运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况,这些病毒定义会在 LiveUpdate 服务器上每周发布一次(一般为星期三)。 要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部“防护”部分的病毒定义 (LiveUpdate) 部分。
* 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义会在美国工作日(周一至周五)发布。 您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。 要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)部分。
智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义,请单击这里。
5. 扫描和删除受感染文件
1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
o Norton AntiVirus 单机版产品: NAV 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
o 赛门铁克企业版防病毒产品: NAV 企业版产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。
2. 运行完整的系统扫描。
3. 如果有任何文件被检测为感染了W32.HLLW.Lovgate.C@mm 或 Backdoor.Trojan,请单击“删除”。
描述者: Tony Conneff