HLLW查杀技巧： w32.HLLW.Lovgate.G蠕虫的清除方法

　　病毒描述：w32.HLLW.Lovgate.G蠕虫是w32.HLLW.Lovgate.c的一

　　个变种，它包含邮件群发功能和后门功能。这个病毒在

　　win95/98/xp下某些功能将无法正常使用。

　　传播机理：

　　该蠕虫传播有两种方式，通过电子邮件和局域网共享传

　　播。当机器被感染后将做如下操作：

　　1.将病毒自身拷贝到%system%(通常是winnt/system32)目录下，并改成以下这些文件名：

　　Ravmond.exe

　　WinGate.exe

　　WinDriver.exe

　　Winrpc.exe

　　Winhelp.exe

　　Iexplore.exe

　　Kernel66.dll

　　NetServices.exe

　　这些文件在win2000大小都是104k.。

　　2.拷贝木马文件到%system%目录下并执行它，木马的文件名可能是以下文件名中的一种或几种：

　　Task688.dll

　　Ily688.dll

　　Reg678.dll

　　111.dll

　　3.修改注册表键值，以便使蠕虫能在下次系统重起后自动运行:

　　在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中添加以下键值：

　　winhelp %system%winhelp.exe

　　WinGate initialize %system%WinGate.exe -remoteshell

　　Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg

　　Program in Windows %system%iexplore.exe

　　4.添加注册表键值：

　　在HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

　　中添加run RAVMOND.EXE项。

　　5.修改系统文本文件打开程序的关联项，使得系统在今后每次

　　打开文本文件的时候都会被运行一遍，修改的键值为在

　　HKEY_CLASS_ROOT xtfileshellopencommand中添加了winrpc.exe %1

　　6.拷贝它自己到所有本地共享文件夹中，可能以下面的文件名：

　　Are you looking for Love.doc.exe

　　autoexec.bat

　　The world of lovers.txt.exe

　　How To Hack Websites.exe

　　Panda Titanium Crack.zip.exe

　　Mafia Trainer!!!.exe

　　100 free essays school.pif

　　AN-YOU-SUCK-IT.txt.pif

　　Sex_For_You_Life.JPG.pif

　　CloneCD + crack.exe

　　Age of empires 2 crack.exe

　　MoviezChannelsInstaler.exe

　　Star Wars II Movie Full Downloader.exe

　　Winrar + crack.exe

　　SIMS FullDownloader.zip.exe

　　MSN Password Hacker and Stealer.exe

　　7.监听系统的1092，6000，20168端口，并通过电子邮件将本地信息发往某些特定的地址。

　　8.运行一个需要密码验证的后门程序在1092端口，当入侵者输

　　入正确的口令后他将获得一个系统的shell。

　　9.运行一个无需任何验证的后门程序在20168端口。

　　10.运行一个功能并不完善的木马程序在6000端口，但是由于程

　　序上的bug，有的时候他不能正常运行，该后门程序会记录系统

　　在网络上通讯时所用的账号和密码，并将相关的信息以纯文本形

　　式记录在C:Netlog.txt文件中。

　　11.从html文件中查找邮件地址并向该地址发送病毒副本，回复

　　outlook中所有收到的信件并将病毒副本作为附件在回复信件中

　　发出。发送的附件名称是由病毒程序从内定的列表里随机提出的

　　文件名，有三种格式 .exe .pif 和.scr,列表中的文件名包括：

　　I am For u.doc.exe

　　Britney spears nude.exe.txt.exe

　　joke.pif

　　DSL Modem Uncapper.rar.exe

　　Industry Giant II.exe

　　StarWars2 - CloneAttack.rm.scr

　　dreamweaver MX (crack).exe

　　Shakira.zip.exe

　　SETUP.EXE

　　Macromedia Flash.scr

　　How to Crack all gamez.exe

　　Me_nude.AVI.pif

　　s3msong.MP3.pif

　　Deutsch BloodPatch!.exe

　　Sex in Office.rm.scr

　　The hardcore game-.pif

　　信件发送的标题和内容也是从内置的表单中随即提取出来的，包括：

　　Subject: Reply to this!

　　Message Body: For further assistance, please contact!

　　Attachment: About_Me.txt.pif

　　Subject: Let"s Laugh

　　Message Body: Copy of your message, including all the headers is attached.

　　Attachment: driver.exe

　　Subject: Last Update

　　Message Body: This is the last cumulative update.

　　Attachment: Doom3 Preview!!!.exe

　　Subject: for you

　　Message Body: Tiger Woods had two eagles Friday during his victory over Stephen Leaney.

　　(AP Photo/Denis Poroy)Attachment: enjoy.exe

　　Subject: Great

　　Message Body: Send reply if you want to be official beta tester.

　　Attachment: YOU_are_FAT!.TXT.pif

　　Subject: Help

　　Message Body: This message was created automatically by mail delivery software (Exim).

　　Attachment: Source.exe

　　Subject: Attached one Gift for u..

　　Message Body: It"s the long-awaited film version of the Broadway hit.

　　Set in the roaring 20"s, this is the story of Chicago

　　chorus girl Roxie Hart (Zellweger), who shoots her unfaithful

　　lover (West).Attachment: Interesting.exe

　　Subject: Hi

　　Message Body: Adult content!!! Use with parental advisory.

　　Attachment: README.TXT.pif

　　Subject: Hi Dear

　　Message Body: Patrick Ewing will give Knick fans something to cheer about Friday night.

　　Attachment: images.pif

　　Subject: See the attachement

　　Message Body: Send me your comments...

　　Attachment: Pics.ZIP.scr

　　12. 扫描局域网上所有的机器，并使用administrator用

　　户及从密码列表中所列出的密码对该机器的共享进行测试连接。密码列表包括：

　　zxcv

　　yxcv

　　xxx

　　win

　　test123

　　test

　　temp123

　　temp

　　sybase

　　super

　　sex

　　secret

　　pwd

　　pw123

　　Password

　　owner

　　oracle

　　mypc123

　　mypc

　　mypass123

　　mypass

　　love

　　login

　　Login

　　Internet

　　home

　　godblessyou

　　god

　　enable

　　database

　　computer

　　alpha

　　admin123

　　Admin

　　abcd

　　aaa

　　88888888

　　2600

　　2003

　　2002

　　123asd

　　123abc

　　123456789

　　1234567

　　123123

　　121212

　　11111111

　　110

　　007

　　00000000

　　000000

　　pass

　　54321

　　12345

　　password

　　passwd

　　server

　　sql

　　!@#$%^&*

　　!@#$%^&

　　!@#$%^

　　!@#$%

　　asdfgh

　　asdf

　　!@#$

　　1234

　　111

　　root

　　abc123

　　12345678

　　abcdefg

　　abcdef

　　abc

　　888888

　　666666

　　111111

　　admin

　　administrator

　　guest

　　654321

　　123456

　　321

　　123

　　另外病毒程序会先尝试使用空密码连接。

　　13.一旦病毒成功的与局域网上的机器建立起连接，它就会将自身拷贝过去：

　　\admin$system32 etservices.exe

　　并将netservices.exe加载成系统服务，服务名叫作Microsoft

　　NetWork FireWall Services

　　14.创建名为"Windows Management Instrumentation Driver

　　Extension,"的服务并指向%System32%WinDriver.exe程序。

　　15.创建名为"NetMeeting Remote Desktop (RPC) Sharing,"的

　　服务并指向"Rundll32.exe task688.dll ondll_server."

　　16.将自己设置为系统服务。

　　17.将木马程序以线程的方式注入到系统程序lsass.exe,监听在1092端口。

　　18.将木马程序以线程的方式注入到系统程序lsass.exe，监听在20168端口。

　　19.将一个监测程序以线程的方式注入到任意的Explorer.exe

　　或是Taskmgr.exe中，它是以远程线程方式注入的，用来监测病

　　毒程序的运行。一旦该监测程序停止，蠕虫程序会重新注入一个

　　线程到任意的Explorer.exe 或是Taskmgr.exe中。蠕虫监测程序

　　运行的目的是为了使系统的进程中始终有活着的蠕虫进程。

　　w32.HLLW.Lovgate.G蠕虫的危害：

　　多次复制自身，占用磁盘空间。

　　扫描局域网，影响网络带宽。

　　运行病毒线程，影响系统性能。

　　记录账号及密码，泄漏本地敏感信息。

　　预留后门程序，危及系统安全。

　　w32.HLLW.Lovgate.G蠕虫检测方法：

　　手动检测方法：察看系统目录system32下是否有大小为104k的相

　　关程序(参见传播机理1)：

　　察看系统目录system32下是否有相应的动态连接库文件(参见传播机理2)

　　检查系统是否开放1092和20168端口。

　　察看注册表中是否有相关的键值(相关键值参照传播机理3，4，5)

　　察看系统服务中是否存在相关服务(请参照传播机理13，14，15)

　　清除方法：

　　第一步：使用升级了最新病毒库的杀毒软件对系统进行扫描，记

　　录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除)

　　第二步：查杀相关进程

　　1)打开Windows任务管理器如果是在Windows 95/98/me系统中，

　　按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统

　　中，按下CTRL+SHIFT+ESC即可然后单击“进程”。

　　2) 在列出的运行进程列表中，找到该病毒文件名或刚才记录下的文件名。

　　3) 选中这个文件，然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本.

　　4) 重复2)和3)，杀死所有正在运行的的病毒进程， 包括所有的病毒文件和刚才纪录的文件。

　　5) 为了判断这个病毒进程是否已经被终止，关闭任务管理器，接着再打开它。

　　6) 关闭任务管理器。

　　第三步：删除相应的键值

　　从注册表中删除病毒的自动启动键值，防止当系统重起的时候这个病毒又开始执行。

　　1) 打开注册表编辑器。(为了打开它，请单击“开始”〉“运行”，输入

　　"REGEDIT",单击回车。)

　　2) 在左边的面板中，双击下面的选项：

　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

　　CurrentVersion>Run

　　3) 在右边的面板中，找到和删除下面的键值：

　　WinHelp = "C:WINNTSystem32winHelp.exe"

　　WinGate initialize = "C:WINNTSystem32WinGate.exe -remoteshell"

　　Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"

　　Program In Windows = "C:WINNTSystem32IEXPLORE.EXE"

　　4) 在左边的面板中，双击下面的选项：

　　HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>

　　CurentVersion>Windows

　　5) 在右边的面板中，找到和删除下面的键值：

　　Run = 擱AVMOND.EXE?

　　第四步：定位和修改注册表Shell Spawning (用户向shell提出请求，shell解释并将请

　　求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning)

　　当一个用户运行一个.txt文件时，注册表的Shell Spawning

　　将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒

　　之前的设置 ：

　　1) 仍然是进入注册表编辑器，在左边的面板中，双击下面的选项：

　　HKEY_CLASSES_ROOT>txtfile>shell>open>command ;

　　2) 在右边的面板中，找到下面的键值：

　　Default;

　　3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时，

　　选中它;

　　4) 如果这个数据是这个病毒的文件，右击Default，选择编辑，去

　　修改它的值;

　　5) 在这个数据的输入框中，删除它的值，然后再输入缺省值：

　　%SysDir%NOTEPAD.EXE %1

　　6) 单击"OK";

　　7) 关闭注册表编辑器。

　　第五步：在系统文件中删除自动启动条目

　　必须在系统安全启动之前删除系统文件中的自启动条目

　　1) 打开WIN.INI

　　单击“开始”〉“运行”，输入"WIN.INI"，按回车。

　　2) 在[Windows]部分下面，在以下的行中找到并删除该

　　病毒的文件名：

　　Run=%System%RAVMOND.exe

　　(注意：%System%为Windows系统文件夹，它的目录一般

　　为：C:WindowsSystem 或C:WindowsSystem32)

　　3) 关闭WIN.INI，当提示是否保存时，单击"Yes"。

　　*注意：如果你不能再内存中终止该病毒的进程，按照前面描述

　　的步骤，重起你的系统。

　　第六步：在Windows 2000/NT/XP中关闭该病毒服务

　　1) 重起你的系统，终止病毒的服务。接下来，在注册表中

　　删除它的服务;

　　2) 打开注册表编辑器;

　　3) 在左边的面板中，双击下面的选项：

　　HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>

　　Services>Windows Management Instrumentation

　　Driver Extension

　　4) 右击"Windows Management Instrumentation Driver

　　Extension"选择"Delete"。

　　5) 在左边的面板中，双击下面的选项：

　　HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>

　　Services>NetMeeting Remote Desktop (RPC) Sharing

　　6) 右击NetMeeting Remote Desktop (RPC) Sharing"，

　　选择"Delete"。

　　7) 在左边的面板中，双击下面的选项：

　　HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>

　　Services>Microsoft NetWork FireWall Services

　　8) 右击"Microsoft NetWork FireWall Services"

　　选择"Delete"。

　　9) 关闭注册表编辑器。

　　第七步：手动删除刚才记录下来的病毒文件。