LoveGate病毒是一种集蠕虫、后门和黑客功能于一体的恶意软件。它复制自身到系统关键目录,注册为服务,并利用LSASS进程植入远程后门。病毒通过简单密码试探、创建DLL文件、盗取密码、建立后门、局域网传播和邮件传播等方式进行扩散。此外,它还搜索电子邮件地址进行邮件传播。杀毒后,可能遇到Command.exe丢失的问题,需要修复注册表并删除Autorun.inf文件。
某天上网由于网站和网速的限制,就想也没想把防火墙和杀毒软件给关了,上网找点资料,上了一会儿发现机器速度有点慢,习惯性的打开任务管理器,出现了一个不明的进程而且CPU占用率很高,于打开了卡巴斯基,果然卡巴斯基病毒报警,我一看名字是Worm.lovgate我知道是爱情后门,于是赶紧上瑞星下载了一个专杀工具,马上断开网络,进入安全模式,再用专杀工具杀,然后又用卡巴斯基扫描了一遍。过了一会儿卡巴斯基报有来自网络的攻击,我一看是同一网段的。可能是局域网里的主机,也感染了爱情后门。马上设置防火墙,差点机子就满负荷运行挂了。还好挺过来了。
于是上网找了一下爱情后门的资料:爱情是一个集蠕虫后门黑客于一身的病毒。当病毒运行时,将自己复制到windows目录下,文件名为:WinRpcsrv.exe并注册成系统服务。然后把自己分别复制到system目录下,文件名为syshelp.exe,WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程,并对其殖入远程后门代码。(该代码,将响应用户tcp请求建方一个远程shell进程。win9x为command.com,NT,WIN2K,WINXP为cmd.exe)之后病毒将自身复制到windows目录并尝试在win.ini中加入run=rpcsrv.exe。并进入传播流程。
病毒的几个功能:
1.密码试探攻击:
病毒利用ipc进行guest和Administrator账号的简单密码试探。(使用如12345678,abcdef,888888)如果成功将自己复制到对方的系统中文件路径为:sytem32/stg.exe并注册成服务服务名为:
Window Remote Service
2.放出后门程序:
病毒从自身体内放出一个dll文件负责建立远程shell后门。
3.盗用密码:
病毒放出一个名为win32vxd.dll的文件(hook函数)用以盗取用户密码。
4.后门
最低0.47元/天 解锁文章
扫一扫
1163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
