|
别名
Lovgate.C, WORM_LOVGATE.C, Lovgate-C, W32/Lovgate@M,
W32.HLLW.Lovgate.C@mm, W32/Lovgate.C@M, W32/Lovgate.B@m, W32/Lovgate-B,
I-Worm.Supnot.c, Supnot.c
内容
W32.Lovgate.C@mm 是一种大量传送电子邮件和后门程序蠕虫。它会透过电邮和网络共享资料夹传播,并且利用后门程序,令远程使用者能够经埠
10168 进入受感染的系统。
若以电邮为传播途径时,它会尝试回复被感染者系统内的 MAPI 客户电邮程序 (其中包括微软 Outlook 和 Outlook Express) 收件匣内的来信。另一方面,它会在本机、窗口和我的活页夹的资料夹定内的
.HT* (HTML) 档案搜寻目标的电邮地址,然后将自己传送到这些电邮地址。详细的电邮特征,请参考 附录。
若以网络共享资料夹为传播途径时,它会以下列的名称将自已拷贝到网络共享资源的资料夹和子资料夹内:
· fun.exe
· humor.exe
· docs.exe
· s3msong.exe
· midsong.exe
· billgt.exe
· Card.EXE
· SETUP.EXE
· searchURL.exe
· tamagotxi.exe
· hamster.exe
· news_doc.exe
· PsPGame.exe
· joke.exe
· images.exe
· pics.exe
此外,若受感染的计算机是运行窗口 NT、 2000或 XP,它会扫描所有本地网络上的计算机,然后利用以下的Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码去尝试登入管理员的帐户:
o <空白>
o 123
o 321
o 123456
o 654321
o guest
o administrator
o admin
o 111111
o 666666
o 888888
o abc
o abcdef
o abcdefg
o 12345678
o abc123
如果它能够成功登入远程的计算机,它会将自身复制成 STG.EXE 档案并储存到远程的计算机的 adminsystem32 资料夹内。然后,它会激活该档案成为一项名为 "Microsoft
NetWork Services FireWall" 的服务,接着会取消网络连结,从网络注销远程计算机。
当它作为一个后门程序,它会开启端口 10168 并立即传送电邮通知远程使用者,受感染计算机已经上网而且可以存取。透过后门程序的连接端口传送指令,一个远程使用者能够在受感染计算机上执行程序、拿取资料,和重新设定运作中的后门程序。
破坏力
- 它透过回复所有在 Microsoft Outlook 和 Outlook Express 内的新邮件来传播自已。
- 它会从本机、窗口和我的活页夹的资料夹定内的 .HT* (HTML) 档案收集目标的电邮地址,然后将自己以附件档案方式传送到这些地址。
- 它会开启连接埠 10168 ,允许远程使用者存取及操纵受影响的系统,并且完全瓦解了系统的保安性。它亦会传送通知到以下的其中一个电邮地址:
54love@fescomail.net
hacker117@163.com
hello_dll@163.com
解决方案
更新病毒防护软件的病毒清单,并用病毒防护软件去侦测和清除此病毒。
如果你没有安装任何计算机病毒防护软件,你可以下载以下清除病毒的工具程序进行清除
Computer Associates
http://www3.ca.com/virusinfo/virus.asp?ID=14380
F-Secure
ftp://ftp.f-secure.com/anti-virus/tools/f-lgate.zip
Symantec
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.lovgate.removal.tool.html
注意:请根据防毒软件公司的指引来清除病毒和修复系统。
附录
传播 W32.Lovgate.C@mm 蠕虫的电邮会具备以下特征:
|
寄件者
|
<受感染使用者的电邮名称>@<受感染使用者的电邮网域名称>
|
|
收件者
|
原来的寄件者
|
|
主旨
|
RE: <原来邮件的主旨>
|
|
内文
|
"<受感染使用者的电邮名称>" wrote:
====
<原来的信件内文>
====
<受感染使用者的电邮网域名称> auto-reply:
‘ I‘ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! ‘
Get your FREE <受感染使用者的电邮网域名称> Mail now!
|
|
附件
|
附件名称可能是以下的其中一个:
- fun.exe
- humor.exe
- docs.exe
- s3msong.exe
- midsong.exe
- billgt.exe
- Card.EXE
- SETUP.EXE
- searchURL.exe
- tamagotxi.exe
- hamster.exe
- news_doc.exe
- PsPGame.exe
- joke.exe
- images.exe
- pics.exe
|
或者可能是以下的其中一个:
|
主旨
|
Documents
|
|
内文
|
Send me your comments
|
|
附件
|
Docs.exe
|
|
主旨
|
Roms
|
|
内文
|
Test this ROM! IT ROCKS!
|
|
附件
|
Roms.exe
|
|
主旨
|
Pr0n!
|
|
内文
|
Adult content!!! Use with parental advisory.
|
|
附件
|
Sex.exe
|
|
主旨
|
Evaluation copy
|
|
内文
|
Test it 30 days for free.
|
|
附件
|
Setup.exe
|
|
主旨
|
Help
|
|
内文
|
I‘m going crazy... please try to find the bug!
|
|
附件
|
Source.exe
|
|
主旨
|
Beta
|
|
内文
|
Send reply if you want to be official beta tester.
|
|
附件
|
_SetupB.exe
|
|
主旨
|
Do not release
|
|
内文
|
This is the pack ;)
|
|
附件
|
Pack.exe
|
|
主旨
|
Last Update
|
|
内文
|
This is the last cumulative update.
|
|
附件
|
LUPdate.exe
|
|
主旨
|
The patch
|
|
内文
|
I think all will work fine.
|
|
附件
|
Patch.exe
|
|
主旨
|
Cracks!
|
|
内文
|
Check our list and mail your requests!
|
|
附件
|
CrkList.exe
|
相关连结
详情请参考以下连结:
Computer
Associates 提供的资料
F-Secure
提供的资料
Kaspersky
提供的资料
McAfee
提供的资料
Norman 提供的资料
Sophos 提供的资料
Symantec 提供的资料
Trend Micro 提供的资料
|
告诉您的位置:
