科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道HLLW查杀技巧: w32.HLLW.Lovgate.G蠕虫的清除方法

HLLW查杀技巧: w32.HLLW.Lovgate.G蠕虫的清除方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒描述:w32.HLLW.Lovgate.G蠕虫是w32.HLLW.Lovgate.c的一   个变种,它包含邮件群发功能和后门功能。这个病毒在   win95/98/xp下某些功能将无法正常使用。

来源:网络转载 2009年4月25日

关键字: hllw病毒 hllw病毒查杀 hllw病毒专杀 hllw病毒手动查杀

  • 评论
  • 分享微博
  • 分享邮件

  病毒描述:w32.HLLW.Lovgate.G蠕虫是w32.HLLW.Lovgate.c的一

  个变种,它包含邮件群发功能和后门功能。这个病毒在

  win95/98/xp下某些功能将无法正常使用。

  传播机理:

  该蠕虫传播有两种方式,通过电子邮件和局域网共享传

  播。当机器被感染后将做如下操作:

  1.将病毒自身拷贝到%system%(通常是winnt/system32)目录下,并改成以下这些文件名:

  Ravmond.exe

  WinGate.exe

  WinDriver.exe

  Winrpc.exe

  Winhelp.exe

  Iexplore.exe

  Kernel66.dll

  NetServices.exe

  这些文件在win2000大小都是104k.。

  2.拷贝木马文件到%system%目录下并执行它,木马的文件名可能是以下文件名中的一种或几种:

  Task688.dll

  Ily688.dll

  Reg678.dll

  111.dll

  3.修改注册表键值,以便使蠕虫能在下次系统重起后自动运行:

  在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项中添加以下键值:

  winhelp %system%winhelp.exe

  WinGate initialize %system%WinGate.exe -remoteshell

  Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg

  Program in Windows %system%iexplore.exe

  4.添加注册表键值:

  在HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows

  中添加run RAVMOND.EXE项。

  5.修改系统文本文件打开程序的关联项,使得系统在今后每次

  打开文本文件的时候都会被运行一遍,修改的键值为在

  HKEY_CLASS_ROOT xtfileshellopencommand中添加了winrpc.exe %1

  6.拷贝它自己到所有本地共享文件夹中,可能以下面的文件名:

  Are you looking for Love.doc.exe

  autoexec.bat

  The world of lovers.txt.exe

  How To Hack Websites.exe

  Panda Titanium Crack.zip.exe

  Mafia Trainer!!!.exe

  100 free essays school.pif

  AN-YOU-SUCK-IT.txt.pif

  Sex_For_You_Life.JPG.pif

  CloneCD + crack.exe

  Age of empires 2 crack.exe

  MoviezChannelsInstaler.exe

  Star Wars II Movie Full Downloader.exe

  Winrar + crack.exe

  SIMS FullDownloader.zip.exe

  MSN Password Hacker and Stealer.exe

  7.监听系统的1092,6000,20168端口,并通过电子邮件将本地信息发往某些特定的地址。

  8.运行一个需要密码验证的后门程序在1092端口,当入侵者输

  入正确的口令后他将获得一个系统的shell。

  9.运行一个无需任何验证的后门程序在20168端口。

  10.运行一个功能并不完善的木马程序在6000端口,但是由于程

  序上的bug,有的时候他不能正常运行,该后门程序会记录系统

  在网络上通讯时所用的账号和密码,并将相关的信息以纯文本形

  式记录在C:Netlog.txt文件中。

  11.从html文件中查找邮件地址并向该地址发送病毒副本,回复

  outlook中所有收到的信件并将病毒副本作为附件在回复信件中

  发出。发送的附件名称是由病毒程序从内定的列表里随机提出的

  文件名,有三种格式 .exe .pif 和.scr,列表中的文件名包括:

  I am For u.doc.exe

  Britney spears nude.exe.txt.exe

  joke.pif

  DSL Modem Uncapper.rar.exe

  Industry Giant II.exe

  StarWars2 - CloneAttack.rm.scr

  dreamweaver MX (crack).exe

  Shakira.zip.exe

  SETUP.EXE

  Macromedia Flash.scr

  How to Crack all gamez.exe

  Me_nude.AVI.pif

  s3msong.MP3.pif

  Deutsch BloodPatch!.exe

  Sex in Office.rm.scr

  The hardcore game-.pif

  信件发送的标题和内容也是从内置的表单中随即提取出来的,包括:

  Subject: Reply to this!

  Message Body: For further assistance, please contact!

  Attachment: About_Me.txt.pif

  Subject: Let"s Laugh

  Message Body: Copy of your message, including all the headers is attached.

  Attachment: driver.exe

  Subject: Last Update

  Message Body: This is the last cumulative update.

  Attachment: Doom3 Preview!!!.exe

  Subject: for you

  Message Body: Tiger Woods had two eagles Friday during his victory over Stephen Leaney.

  (AP Photo/Denis Poroy)Attachment: enjoy.exe

  Subject: Great

  Message Body: Send reply if you want to be official beta tester.

  Attachment: YOU_are_FAT!.TXT.pif

  Subject: Help

  Message Body: This message was created automatically by mail delivery software (Exim).

  Attachment: Source.exe

  Subject: Attached one Gift for u..

  Message Body: It"s the long-awaited film version of the Broadway hit.

  Set in the roaring 20"s, this is the story of Chicago

  chorus girl Roxie Hart (Zellweger), who shoots her unfaithful

  lover (West).Attachment: Interesting.exe

  Subject: Hi

  Message Body: Adult content!!! Use with parental advisory.

  Attachment: README.TXT.pif

  Subject: Hi Dear

  Message Body: Patrick Ewing will give Knick fans something to cheer about Friday night.

  Attachment: images.pif

  Subject: See the attachement

  Message Body: Send me your comments...

  Attachment: Pics.ZIP.scr

  12. 扫描局域网上所有的机器,并使用administrator用

  户及从密码列表中所列出的密码对该机器的共享进行测试连接。密码列表包括:

  zxcv

  yxcv

  xxx

  win

  test123

  test

  temp123

  temp

  sybase

  super

  sex

  secret

  pwd

  pw123

  Password

  owner

  oracle

  mypc123

  mypc

  mypass123

  mypass

  love

  login

  Login

  Internet

  home

  godblessyou

  god

  enable

  database

  computer

  alpha

  admin123

  Admin

  abcd

  aaa

  88888888

  2600

  2003

  2002

  123asd

  123abc

  123456789

  1234567

  123123

  121212

  11111111

  110

  007

  00000000

  000000

  pass

  54321

  12345

  password

  passwd

  server

  sql

  !@#$%^&*

  !@#$%^&

  !@#$%^

  !@#$%

  asdfgh

  asdf

  !@#$

  1234

  111

  root

  abc123

  12345678

  abcdefg

  abcdef

  abc

  888888

  666666

  111111

  admin

  administrator

  guest

  654321

  123456

  321

  123

  另外病毒程序会先尝试使用空密码连接。

  13.一旦病毒成功的与局域网上的机器建立起连接,它就会将自身拷贝过去:

  \admin$system32 etservices.exe

  并将netservices.exe加载成系统服务,服务名叫作Microsoft

  NetWork FireWall Services

  14.创建名为"Windows Management Instrumentation Driver

  Extension,"的服务并指向%System32%WinDriver.exe程序。

  15.创建名为"NetMeeting Remote Desktop (RPC) Sharing,"的

  服务并指向"Rundll32.exe task688.dll ondll_server."

  16.将自己设置为系统服务。

  17.将木马程序以线程的方式注入到系统程序lsass.exe,监听在1092端口。

  18.将木马程序以线程的方式注入到系统程序lsass.exe,监听在20168端口。

  19.将一个监测程序以线程的方式注入到任意的Explorer.exe

  或是Taskmgr.exe中,它是以远程线程方式注入的,用来监测病

  毒程序的运行。一旦该监测程序停止,蠕虫程序会重新注入一个

  线程到任意的Explorer.exe 或是Taskmgr.exe中。蠕虫监测程序

  运行的目的是为了使系统的进程中始终有活着的蠕虫进程。

  w32.HLLW.Lovgate.G蠕虫的危害:

  多次复制自身,占用磁盘空间。

  扫描局域网,影响网络带宽。

  运行病毒线程,影响系统性能。

  记录账号及密码,泄漏本地敏感信息。

  预留后门程序,危及系统安全。

  w32.HLLW.Lovgate.G蠕虫检测方法:

  手动检测方法:察看系统目录system32下是否有大小为104k的相

  关程序(参见传播机理1):

  察看系统目录system32下是否有相应的动态连接库文件(参见传播机理2)

  检查系统是否开放1092和20168端口。

  察看注册表中是否有相关的键值(相关键值参照传播机理3,4,5)

  察看系统服务中是否存在相关服务(请参照传播机理13,14,15)

  清除方法:

  第一步:使用升级了最新病毒库的杀毒软件对系统进行扫描,记

  录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除)

  第二步:查杀相关进程

  1)打开Windows任务管理器如果是在Windows 95/98/me系统中,

  按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统

  中,按下CTRL+SHIFT+ESC即可然后单击“进程”。

  2) 在列出的运行进程列表中,找到该病毒文件名或刚才记录下的文件名。

  3) 选中这个文件,然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本.

  4) 重复2)和3),杀死所有正在运行的的病毒进程, 包括所有的病毒文件和刚才纪录的文件。

  5) 为了判断这个病毒进程是否已经被终止,关闭任务管理器,接着再打开它。

  6) 关闭任务管理器。

  第三步:删除相应的键值

  从注册表中删除病毒的自动启动键值,防止当系统重起的时候这个病毒又开始执行。

  1) 打开注册表编辑器。(为了打开它,请单击“开始”〉“运行”,输入

  "REGEDIT",单击回车。)

  2) 在左边的面板中,双击下面的选项:

  HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

  CurrentVersion>Run

  3) 在右边的面板中,找到和删除下面的键值:

  WinHelp = "C:WINNTSystem32winHelp.exe"

  WinGate initialize = "C:WINNTSystem32WinGate.exe -remoteshell"

  Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"

  Program In Windows = "C:WINNTSystem32IEXPLORE.EXE"

  4) 在左边的面板中,双击下面的选项:

  HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>

  CurentVersion>Windows

  5) 在右边的面板中,找到和删除下面的键值:

  Run = 擱AVMOND.EXE?

  第四步:定位和修改注册表Shell Spawning (用户向shell提出请求,shell解释并将请

  求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning)

  当一个用户运行一个.txt文件时,注册表的Shell Spawning

  将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒

  之前的设置 :

  1) 仍然是进入注册表编辑器,在左边的面板中,双击下面的选项:

  HKEY_CLASSES_ROOT>txtfile>shell>open>command ;

  2) 在右边的面板中,找到下面的键值:

  Default;

  3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时,

  选中它;

  4) 如果这个数据是这个病毒的文件,右击Default,选择编辑,去

  修改它的值;

  5) 在这个数据的输入框中,删除它的值,然后再输入缺省值:

  %SysDir%NOTEPAD.EXE %1

  6) 单击"OK";

  7) 关闭注册表编辑器。

  第五步:在系统文件中删除自动启动条目

  必须在系统安全启动之前删除系统文件中的自启动条目

  1) 打开WIN.INI

  单击“开始”〉“运行”,输入"WIN.INI",按回车。

  2) 在[Windows]部分下面,在以下的行中找到并删除该

  病毒的文件名:

  Run=%System%RAVMOND.exe

  (注意:%System%为Windows系统文件夹,它的目录一般

  为:C:WindowsSystem 或C:WindowsSystem32)

  3) 关闭WIN.INI,当提示是否保存时,单击"Yes"。

  *注意:如果你不能再内存中终止该病毒的进程,按照前面描述

  的步骤,重起你的系统。

  第六步:在Windows 2000/NT/XP中关闭该病毒服务

  1) 重起你的系统,终止病毒的服务。接下来,在注册表中

  删除它的服务;

  2) 打开注册表编辑器;

  3) 在左边的面板中,双击下面的选项:

  HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>

  Services>Windows Management Instrumentation

  Driver Extension

  4) 右击"Windows Management Instrumentation Driver

  Extension"选择"Delete"。

  5) 在左边的面板中,双击下面的选项:

  HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>

  Services>NetMeeting Remote Desktop (RPC) Sharing

  6) 右击NetMeeting Remote Desktop (RPC) Sharing",

  选择"Delete"。

  7) 在左边的面板中,双击下面的选项:

  HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>

  Services>Microsoft NetWork FireWall Services

  8) 右击"Microsoft NetWork FireWall Services"

  选择"Delete"。

  9) 关闭注册表编辑器。

  第七步:手动删除刚才记录下来的病毒文件。

    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章