江民9.30病毒播报:爱情之门和HTTP炸弹变种

9/30/2009来源:病毒数据库人气:4652

  江民今日提醒您注意:在今天的病毒中Worm/LovGate.k“爱情之门”变种k和Backdoor/Httpbot.gg“HTTP炸弹”变种gg值得关注。

  英文名称:Worm/LovGate.k
  中文名称:“爱情之门”变种k
  病毒长度:110592字节
  病毒类型:蠕虫
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:f5a6d451c72bb3b2072b8ca08c627604
  特征描述:
  Worm/LovGate.k“爱情之门”变种k是“爱情之门”蠕虫家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“爱情之门”变种k运行后,会自我复制多份到被感染计算机系统的“%SystemRoot%\system32\”文件夹下,重命名为“WinDriver.exe”、“WinHelp.exe”、“winrpc.exe”、“WinGate.exe”、“RAVMOND.exe”和“IEXPLORE.EXE”。另外还复制为“kernel66.dll”,并修改该文件的创建时间,设置该文件为“系统、只读、隐藏”属性。释放恶意DLL组件到“%SystemRoot%\system32\”文件夹下,并复制为“ily668.dll”、“Task688.dll”、“reg678.dll”和“111.dll”。“爱情之门”变种k会在被感染计算机中注册名为“Windows Management Instrumentation Driver Extension”和“PRogram In Windows”的系统服务,以此实现“WinDriver.exe”和“IEXPLORE.EXE”的开机自启动;注册名为“ll_reg”和“NetMeeting Remote Desktop (RPC) Sharing”的系统服务,以此实现“Task688.dll”以不同的参数自动运行。在注册表启动项中添加新键“WinHelp”和“WinGate initialize”,以此实现“WinHelp.exe”和“WinGate.exe”的开机自启。在注册表启动项中添加新键“Remote Procedure Call Locator”,以此实现“reg678.dll”的开机自动运行。“爱情之门”变种k会修改“TXT”文件的关联打开方式,致使用户每次打开文本文件时会自动调用自身副本“winrpc.exe”。将恶意代码注入到系统中已存在的“Explorer.exe”或“Taskmgr.exe”进程之中,监视蠕虫自身进程状况。注入“Lsass.exe”进程之中,并会打开指定的端口。搜索指定用户目录下的“*.ht*”文件,并从中搜集可能存在的电子邮件地址。其会向用户“Outlook”中的联系人以及搜索到的邮件地址发送包含自身的邮件(附件文件名为“Sex_For_You_Life.JPG.pif”、“I am For u.doc.exe”、“s3msong.MP3.pif”等)。“爱情之门”变种k还会利用自带的密码表进行自我传播。其会搜索存在弱口令的网上邻居,并会尝试向这些计算机的“%SystemRoot%\system32\”目录下复制病毒文件“NetServices.exe”,同时还会创建名为“Microsoft NetWork FireWall Services”的服务,以此实现开机后自动激活这些病毒。“爱情之门”变种k所释放的DLL文件运行后会打开被感染计算机的指定端口并进行监听,以此作为后门。攻击者在访问该计算机时,其会自动为攻击者开启一个“cmd shell”,从而使得被感染计算机面临被远程控制的威胁。

  英文名称:Backdoor/Httpbot.gg
  中文名称:“HTTP炸弹”变种gg
  病毒长度:11073字节
  病毒类型:后门
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:41f8303c9e05a6cd7d9cc521a3f814c4
  特征描述:
  Backdoor/Httpbot.gg“HTTP炸弹”变种gg是“HTTP炸弹”后门家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“HTTP炸弹”变种gg运行时,会将恶意代码注入到新创建的“iexplore.exe”进程中调用运行,以此隐藏自我,防止被轻易地查杀。同时原程序会将自我删除,以此消除痕迹。“HTTP炸弹”变种gg运行时,会在被感染计算机系统的后台连接攻击者指定的远程服务器站点,下载恶意程序至“c:\HackFans_259789.exe”并自动调用运行,以此实现了自动更新。“HTTP炸弹”变种gg会连接指定URL“http://www.gy*g.com/ip.jpg”获取IP地址等数据,并对这些IP地址或一些随机的IP地址及端口实施DDos攻击,由此可能增加被攻击计算机的负担,或者堵塞用户的网络等。