爱情后门``推荐

分析BY-孤独更可靠` 博客连接：[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF[/url] 有新变种，杀软、杀软无法清除的请把样本发送： [email]Lyhan_1988@163.com[/email] 加密virus Q526170722 ======================转贴请带此声明====================   爱情后门。。。样本来至剑盟，跟踪了一下``   嗯，传播手段比较成熟，应该不在熊猫烧香之下。   文件名称：doc.doc.pif 文件大小：192000 byte 病毒命名： Email-Worm.Win32.LovGate.ae（卡吧斯基） 依赖平台：Windows（9X以上系统） 加壳方式：ASPack+JDPack 编写语言：Microsoft Visual C++ 6.0 病毒类型：后门、蠕虫 文件MD5：42ab20ee5f4757a44edff753bc508840 文件SHA1 ：da39a3ee5e6b4b0d3255bfef95601890afd80709 危害等级：★ ★ ★ 传播方式：邮件、局域、网络。   行为分析：   1、释放病毒文件：   %Windir%\svchost.exe  57344 字节 %Windir%\SYSTRA.EXE  192000 字节 %Systemroot%\system32\hxdef.exe  192000 字节 %Systemroot%\system32\IEXPLORE.EXE  192000 字节 %Systemroot%\system32\kernel66.dll  192000 字节, RHS %Systemroot%\system32\msjdbc11.dll  53248 字节 %Systemroot%\system32\MSSIGN30.DLL  53248 字节 %Systemroot%\system32\NetMeeting.exe  61440 字节 %Systemroot%\system32\ODBC16.dll  53248 字节 %Systemroot%\system32\RAVMOND.exe  192000 字节 %Systemroot%\system32\spollsv.exe  61440 字节 %Systemroot%\system32\TkBellExe.exe  192000 字节 %Systemroot%\system32\Update_OB.exe  192000 字节   并且在每个盘（C-F）下生成：Autorun.inf和\COMMAND.EXE   Autorun.inf内容： [C:\]
[AUTORUN]
Open="C:\COMMAND.EXE" /StartExplorer   双击磁盘则激活病毒。   2、修改注册表：   HKEY_CLASSES_ROOT\txtfile\shell\open\command\ REG_SZ, "C:\winnt\notepad.exe %1 " 修改为REG_SZ, "Update_OB.exe %1   这点比较恶劣，可能导致所有文本文件（Txt、Log等）无法运行，而重定向执行病毒程序。   3、注册系统服务（_Reg)：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):52,00,75,00,6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,\
  78,00,65,00,20,00,6d,00,73,00,6a,00,64,00,62,00,63,00,31,00,31,00,2e,00,64,\
  00,6c,00,6c,00,20,00,6f,00,6e,00,64,00,6c,00,6c,00,5f,00,73,00,65,00,72,00,\
  76,00,65,00,72,00,00,00
"DisplayName"="_reg"
"ObjectName"="LocalSystem"   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
  20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
  00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
  00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
  00,01,01,00,00,00,00,00,05,12,00,00,00   指向的是%Systemroot%\system32\msjdbc11.dll，实现服务方式注入。   4、添加注册表启动项：   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的：   %Systemroot%\system32\TkBellExe.exe %Systemroot%\system32\hxdef.exe %Systemroot%\system32\NetMeeting.exe %Systemroot%\system32\spollsv.exe %Systemroot%\system32\IEXPLORE.EXE %Systemroot%\system32\RUNDLL32.EXE MSSIGN30.DLL   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的：   %Systemroot%\system32\RAVMOND.exe   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下的：   %Windir%\SYSTRA.EXE %Windir%\svchost.exe   得以开机执行病毒体。 5、其中NetMeeting.exe常驻进程，利用系统默认开启的ipc$和admin$不停访问局域（192.168.0.*）   并以用户名为：   "admin"
"Admin"
"admin"
"admin123"
"Administrator"
"administrator"
"Guest"
"guest"
"a"
"a+"
"aaa"
"abc"
"abc123"
"abcd"     "temp"
"temp123"
"test"
"test123"
"123456"
"1234567"
"12345678"
"123456789"
"123abc"
"123asd"
"2003"
"2004"
"2600"
"321"
"54321"
"654321"
"666666"
"888888"
"88888888"   等穷举试探，如成功，则栲贝病毒至对方System目录下。   6、搜索局域共享目录夹，并尝试拷贝自身至目录下：   为了迷惑局域用户，病毒冒充其他文件，可能是：   "mmc.exe"
"xcopy.exe"
"winhlp32.exe"
"i386.exe"
"client.exe"
"findpass.exe"
"autoexec.bat"
"MSDN.ZIP.pif"
"Cain.pif"
"WindowsUpdate.pif"
"Support Tools.exe"
"Windows Media Player.zip.exe"
"Microsoft Office.exe"
"Documents and Settings.txt.exe"
"WinRAR.exe"   7、利用Net Stop命令，尝试关闭偌顿和瑞星的服务（无判断）   SSM日志：   Parent process:
  Path: C:\Documents and Settings\admin\桌面\新建文件夹\doc\doc.doc.pif
  PID: 1220
Child process:
  Path: C:\WINNT\system32\net.exe
  Information: Net Command (Microsoft Corporation)
  Command line:"C:\winnt\system32\net.exe" stop "Symantec AntiVirus Client"   8、遍历进程，尝试关闭下列进程和字符串：   "KV"
"KAV"
"Duba"
"NAV"
"kill"
"RavMon.exe"
"Rfw.exe"
"Gate"
"McAfee"
"Symantec"
"SkyNet"
"rising"   9、MSSIGN30.DLL枚举进程，插入：   "Explorer.exe"  "Taskmgr.exe"进程。 并收集计算机存储信息和密码等至C:\Netlog.txt， 发送hello_***@163.com。   10、%Systemroot%\system32\IEXPLORE.EXE尝试连接   202.43.216.198  202.165.103.38  202.43.216.198等（应该是YAHOO.COM Mail吧``） 并获得读取本地*.dbx文件获得好友邮箱列表。 在E、F盘下（其他盘未发现）生成： setup.ZIP
WORK.RAR
COMMAND.EXE
AUTORUN.INF
install.ZIP
bak.RAR
pass.RAR
bak.ZIP
letter.RAR
WORK.ZIP   压缩病毒文件并发送。   11、修改F盘下的EXE可执行程序扩展名为.ZMX，可能导致EXE无法运行。   （这点我就不明白了，我猜本意应该是要注册ZMX文件关联，指向病毒体，不过测试时并未实现，如果你知道的话，请告诉我。）   解决方法：   建议使用专杀，请自行搜索。如 爱情后门专杀   手工删除：   1、[url]http://gudugengkekao.ys168.com/[/url]下载：   sreng2.5.zip 780KB
  冰刃.rar 2,110KB
  直接放桌面，关闭网络连接和不需要的进程。未完成下面操作前，不要双击进入磁盘   2、打开冰刃，设置—禁止进线程创建—确定，打开进程，关闭所有IE进程和NetMeeting.exe   3、使用冰刃“文件”功能，删除第一点所有提到的文件。   特别要注意每个磁盘下的Autorun.inf和\COMMAND.EXE ！（不要忘记删除）   PS：%Systemroot%、%Windir%是C:\Windows（XP）2K和ME系统是（C:\Winnt) 由于有些是冒充系统文件，请注意区别。   4、选择重启并监视，重启后打开SREng，删除：     [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  run RAVMOND.exe   []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]   WinHelp C:\winnt\system32\TkBellExe.exe   []
  Hardware Profile C:\winnt\system32\hxdef.exe   []   Microsoft NetMeeting Associates, Inc. NetMeeting.exe   []   VFW Encoder/Decoder Settings RUNDLL32.EXE MSSIGN30.DLL  ondll_reg   [N/A]   Shell Extension C:\winnt\system32\spollsv.exe   []
  Program In Windows C:\winnt\system32\IEXPLORE.EXE   [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
  SystemTra C:\winnt\SysTra.EXE   []
  COM++  System svchost.exe   [(Verified)Microsoft Windows 2000 Publisher]     [_reg / _reg][Stopped/Auto Start]
  Rundll32.exe msjdbc11.dll ondll_server Microsoft Corporation   并使用SREng修复功能，修复被修改的Txt文件关联！   5、附上批量修改文件关联方法：   Ren *.ZMX *.exe