我中了这毒

1353313808

爱情后门变种 http://bbs.whu.edu.cn/cgi-bin/bbs/bbscon?board=Internet&file=M.1085388689.A&num=1431 标 题: Lovgate.r/supnot.w/supnot.r病毒解决方法 发信站: 珞珈山水 (2004年05月24日16:51:54 星期一), 站内信件 病毒特征： 1.d,e,f,g盘不能双击打开，硬盘驱动器根目录下存在Autorun.inf 2.在每个硬盘驱动器根目录下存在很多.zip和.rar压缩文件，文件名多为pass,work,insta ll,letter，大小约为126K 3.在每个硬盘驱动器根目录下存在COMMAND.EXE 4.hxdef.exe、IEXPLORE.EXE、NetManager.exe、NetMeeting.exe、WinHelp.exe等进程占 用了cpu。 5有可能出现rpc关闭也倒计时重启的现象 6.瑞星杀毒后出现Windows无法找到COMMAND.EXE文件，要求定位该文件。 7.在任务管理器上看到多个cmd.exe进程. 病毒技术： I-Worm.supnot.w分析报告 作者:北信源咨讯 来自:北信源 时间:2004-4-8 一、[病毒特征]： 1、病毒英文名：I-Worm.supnot.w 2、病毒中文名：爱情后门 3、病毒 大小　：125K 二、[病毒分析]： 　　　该病毒为爱情后门病毒的最新变种。大小约为125K，采用ASPACK2.12压缩。 　　　病毒被执行以后在system目录下生成了以下文件 　　　hxdef.exe 　　　ravmond.exe 　　　iexplore.exe 　　　kernel66.dll 　　　odbc16.dll 　　　msjdbc11.dll 　　　MSSIGN30.DLL 　　　spollsv.exe 　　　NetMeeting.exe 　　　a 　　　在windows目录下生成: 　　　SYSTRA.EXE 　　　在每个分区根根目录下生成以下文件： 　　　bak.rar 　　　bak.zip 　　　install.rar 　　　install.zip 　　　letter.rar 　　　letter.zip 　　　pass.rar 　　　pass.zip 　　　setup.rar 　　　setup.zip 　　　work.rar 　　　work.zip 　　　autorun.inf 　　　command.exe 　　　在被执行的病毒文件所在的目录下会生成以下文件： 　　　results.txt 　　　win2k.txt-----当当前系统是windows2000时产生 　　　winxp.txt-----当当前系统是windows XP时产生 写以下注册表项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run] "Hardware Profile"="%Windir%\\System32\\hxdef.exe" "VFW Encoder/Decoder Settings"=" RUNDLL32.EXE MSSIGN30.DLL　ondll_reg" "Microsoft NetMeeting Associates, Inc."="NetMeeting.exe" "Program In Windows"="%Windir%\\System32\\IEXPLORE.EXE" "Shell Extension"="%Windir%\\System32\\spollsv.exe" "Protected Storage"="RUNDLL32.EXE MSSIGN30.DLL　ondll_reg" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\runServices] "SystemTra"="%Windir%\\SysTra.EXE" 添加以下服务： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Windows Management Protocol v.0 (experimental)] 　　　病毒自带FTP服务器端，它会在15436端口提供一个FTP服务，这样病毒就可以通过建立一个文本方式的下载脚本文件来从被感染计算机上下载病毒可执行文件。病毒会利用共享方式进行传播，共享传播主要通过netmeeting.exe来进行，它会扫描网络内的共享资源，并尝试将自身复制到远程共享。 　　　病毒会使用windows的程序CMD.EXE写文本文件a，内容如下： open 127.0.0.1 15436 ftp ftp bin get hxdef.exe bye 　　　并使用该文件来下载病毒可执行文件，病毒会不停调用cmd.exe程序，由于cmd.exe为隐藏运行，用户可以在进程管理器中看到1个以上的cmd.exe进程。 病毒还自带SMTP引擎，它将使用该引擎向从被感染计算机上搜集到的电子邮件地址发送带病毒附件的垃圾邮件，邮件内容如下： 发件人：从搜索到的电子邮件地址中随机获取 收件人：从搜索到的电子邮件地址中随机获取 主题： 正文： 附件：大小125K左右，扩展名为以下类型的文件： .exe .scr .pif .cmd .bat .zip .rar 　　病毒会尝试感染网络中的共享资源（探测网络内计算机的135、139、445等端口），当发现有可写的共享资源时，病毒会将自己的副本写入该共享，如果病毒探测到被感染计算 机的有权限用户的弱口令（使用自带的密码库），病毒会远程将病毒执行起来达到网络传染的目的。 　　　病毒会搜索本地除了系统盘以外的所有分区上的EXE文件并尝试将其扩展名改为.zmx，并将属性设置为隐藏+系统，然后将病毒的副本复制到EXE文件所在目录病毒将名称改为 该EXE的名称。另外病毒也会将自身的副本随机复制到任意目录当中（名称主要有自带的列表和从被感染计算机上搜索到的EXE文件名两种，自带的文件名列表略）。 解决方法： 建议关闭网络共享，改一个强健的管理员密码。 用以下的专杀： http://bbs.whnet.edu.cn/upload/FixLGate.com ＝＝＝＝＝＝＝＝＝＝＝＝＝＝如果杀毒完毕存在这样的问题：＝＝＝＝＝＝＝＝＝＝＝ ＝ ＝＝＝＝＝＝＝＝ d、e、f、g盘（如果有的话）双击不能直接打开，说Windows无法找到COMMAND.EXE文件， 要求定位该文件，定位为C:\windows\explorer之后每次打开会提示“/StartExplorer”出错 ，然后依然能打开驱动器文件夹。 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝这是杀毒软件没有搞定，留下的后遗症＝＝＝＝＝＝＝＝ ＝ ＝ 解决方法参见本版3238贴，内容如下： 病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为： open="X:\command.exe" /StartExplorer X为驱动器盘符 所以，如果你没有杀毒，每次点开/D/E/F/G盘都会激活病毒 瑞星比较笨不会帮你搞定这个问题（就算升级到最新版也没有用，瑞星网站上专杀也无法解决，且无相关说明），需要自己手工解决。 解决方法如下(以D盘为例)： ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 开始 运行 cmd（打开命令提示符） D: dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现一个autorun.inf文件，约49字节 attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法 删除 del autorun.inf del autorun.inf 到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe， 这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息： 开始 运行 regedit 编辑 查找 command.exe 找到的第一个就是D盘的自动运行，删除整个shell子键 完毕，双击D盘，是不是可以打开了？ ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘 Shell\Open\Autorun的时候顺便都删除了吧。 请给系统帐户设置足够复杂的登陆密码，建议是字母+数字+特殊字符。 关闭共享文件夹。 打补丁 ====== 开始-->Windows Update... 升级程序会自动检测你需要打哪些补丁 安装好所有系统必须的关键更新和Service Pack 安装 →　MS03-039（KB824146）补丁　（Windows 2000 简体中文版）； →　MS03-039（KB824146）补丁　（Windows XP 简体中文版）。 爱情后门(LOVEGATE)专杀工具 http://hengtian.nyist.net/soft/show.php?id=568