病毒愛情後門（lovgate）

於是上網找了一下愛情後門的資料：愛情是乙個集蠕蟲後門黑客於一身的病毒。當病毒執行時，將自己複製到windows目錄下，檔名為：winrpcsrv.exe並註冊成系統服務。然後把自己分別複製到system目錄下，檔名為syshelp.exe，wingate.exe並在登錄檔run項中加入自身鍵值。病毒利用ntdll提供的api找到lsass程序，並對其殖入遠端後門**。（該**，將響應使用者tcp請求建方乙個遠端shell程序。win9x為***mand.***，nt,win2k,winxp為cmd.exe）之後病毒將自身複製到windows目錄並嘗試在win.ini中加入run=rpcsrv.exe。並進入傳播流程。

病毒的幾個功能：

1.密碼試探攻擊：

病毒利用ipc進行guest和administrator賬號的簡單密碼試探。（使用如12345678，abcdef，888888）如果成功將自己複製到對方的系統中檔案路徑為：sytem32/stg.exe並註冊成服務服務名為：

window remote service

2.放出後門程式：

病毒從自身體內放出乙個dll檔案負責建立遠端shell後門。

3.盜用密碼：

病毒放出乙個名為win32vxd.dll的檔案（hook函式）用以盜取使用者密碼。

4.後門

病毒本身也將建立乙個後門，等待使用者連入。

5.區域網傳播：

病毒窮舉網路資源，並將自己複製過去。檔名為隨機的選取，病毒體內的檔名有以下幾種可能

humor.exe,fun.exe,docs.exe，s3msong.exe，midsong.exe，billgt.exe，card.exe

setup.exe，searchurl.exe，tamagotxi.exe,hamster.exe,news_doc.exe,pspgame.exe

joke.exe,images.exe,pics.exe

6.郵件位址搜尋執行緒,病毒啟動乙個執行緒通過登錄檔:

software/microsoft/windows/currentversion/explorer/shell folders得到系統目錄

並搜尋*.ht*中的email位址。用以進行郵件傳播。

7.發郵件

病毒利用mapi及搜出的email位址，進行郵件傳播。郵件標題隨機從病毒體內選出:

cracks!

the patch

last update

test this rom! it rocks!.

adult content!!! use with parental advi

check our list and mail your requests!

i think all will work fine.

send reply if you want to be official b

test it 30 days for free.

防毒後的系統恢復。

防毒完成後開啟d、e、f、g盤的時候，系統提示找不到***mand.exe。看了就知道是用autorun.inf檔案的方法實現的，這個檔案的建立方法是，先新建乙個文字檔案，在裡面輸入

[autorun]

open=***mand.exe //***mand.exe是要開啟的檔名稱

icon=***mand.ico //***mand.ico是檔案的圖示。

於是在瀏覽器中輸入 d:/進入d盤

可是找到autorun.inf檔案，用顯示所有的選項也沒有找到。

沒辦法只好轉到cmd環境下，用dir /a命令終於看到了

用attrib命令去掉autorun檔案的系統和隱藏屬性，attrib autorun.inf -s -h

然後del autorun.inf

修復登錄檔

在登錄檔中查詢***mand.exe,找到後連同上面的shell子鍵一起刪除就行了。

其餘各盤的設定也是一樣的。

病毒愛情後門（lovgate）

驅動人生公升級版後門病毒處置

某後門病毒分析報告 2 IPC 內網滲透

修改登錄檔對付病毒木馬後門及黑客程式

病毒愛情後門（lovgate）

驅動人生公升級版後門病毒處置

某後門病毒分析報告 2 IPC 內網滲透

修改登錄檔對付病毒 木馬 後門及黑客程式

相關推薦

修改登錄檔對付病毒木馬後門及黑客程式