新华网天津9月5日电(记者张建新)国家计算机病毒应急处理中心通过监测,发现近期“爱之门”病毒的变种(Worm_Lovgate.AF),传播较为广泛。该病毒通过电子邮件附件的形式发送,还可通过网络共享进行传播,希望引起用户的注意,遇到此类邮件立即删除。
病毒名称:“爱之门”(Worm_Lovgate.AF)
病毒类型:蠕虫
受影响的系统:Windows 95/98/Me/NT/2000/XP/2003
病毒特征:
1、生成病毒文件
病毒运行后,在系统中生成多个文件,%Windows%\CDPlay.exe%System%\iexplore.exe%System%\RAVMOND.exe%System%\WinHelp.exe%System%\Update_OB.exe%System%\TkBellExe.exe%System%\hxdef.exe%System%\Kernel66.dll(该文件属性为隐藏)(其中,%Windows%通常为C:\Windows或C:\Winnt,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT/2000下为C:\Winnt\System32,在WindowsXP下为C:\Windows\System32)
2、修改注册表
病毒对注册表进行修改,使得在下次系统启动时,病毒可随之自动运行HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WindowsRun=RAVMOND.exeHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServicesCOM++System=exploier.exe...SystemTra=%windows%\CDPlay.exeHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWinhelp=%system%\TkBellExe.exe...HardwareProfile=%system%\hxdef.exe...PrograminWindows=%system%\IEXPLORE.exeHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunProgramIn Windows=C:\%System%\IEXPLORE.EXE病毒修改注册表项,使得txt文件运行时病毒随之运行HKEY_CLASSES_ROOT\txtfile\shell\open\command(Default)=Update_OB.exe%1...
3、过电子邮件进行传播
病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从多种扩展名的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。
病毒发送的邮件特征如下主题:(为下列之一)testhi hello Mail Delivery SystemMailTransactionFailed Server Report Status Error内容:(为下列之一)passMailfailed. For further assistance,please contact!The messagecontainsUnicodecharacters and has been sent as abinaryattachment.Its thelong-awaited film version ofthe Broadwayhit. The message sent as abinaryattachment.附件名称:(为下列之一)documentreadmedoc text file data testmessage body附件的扩展名:(为下列之一)bat cmd exepif scr
4、通过网络共享传播
病毒将自身拷贝到网络中的共享文件夹,用以传播WinRAR.exe Internet Explorer.batDocumentsandSettings.txt.exe Microsoft Office.exeWindowsMediaPlayer.zip.exe Support Tools.exeWindowsUpdate.pifCain.pifMSDN.ZIP.pif autoexec.bat
findpass.exe client.exe I386.exe winhlp32.exexcopy.exemmc.exe
5、阻止安全软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。rising SkyNet Symantec McAfeeGateRfw.exe RavMon.exe kill NAV Duba KAV