江民今日提醒您注意:在今天的病毒中Worm/LovGate.k"爱情之门"变种k和Backdoor/Httpbot.gg"HTTP炸弹"变种gg值得关注。
英文名称:Worm/LovGate.k
中文名称:"爱情之门"变种k
病毒长度:110592字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:f5a6d451c72bb3b2072b8ca08c627604
特征描述:
Worm/LovGate.k"爱情之门"变种k是"爱情之门"蠕虫家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写,并且经过加壳保护处理。"爱情之门"变种k运行后,会自我复制多份到被感染计算机系统的"%SystemRoot%system32"文件夹下,重命名为"WinDriver.exe"、"WinHelp.exe"、"winrpc.exe"、"WinGate.exe"、"RAVMOND.exe"和"IEXPLORE.EXE"。另外还复制为"kernel66.dll",并修改该文件的创建时间,设置该文件为"系统、只读、隐藏"属性。释放恶意DLL组件到"%SystemRoot%system32"文件夹下,并复制为"ily668.dll"、"Task688.dll"、"reg678.dll"和"111.dll"。"爱情之门"变种k会在被感染计算机中注册名为"Windows Management Instrumentation Driver Extension"和"Program In Windows"的系统服务,以此实现"WinDriver.exe"和"IEXPLORE.EXE"的开机自启动;注册名为"ll_reg"和"NetMeeting Remote Desktop (RPC) Sharing"的系统服务,以此实现"Task688.dll"以不同的参数自动运行。在注册表启动项中添加新键"WinHelp"和"WinGate initialize",以此实现"WinHelp.exe"和"WinGate.exe"的开机自启。在注册表启动项中添加新键"Remote Procedure Call Locator",以此实现"reg678.dll"的开机自动运行。"爱情之门"变种k会修改"TXT"文件的关联打开方式,致使用户每次打开文本文件时会自动调用自身副本"winrpc.exe"。将恶意代码注入到系统中已存在的"Explorer.exe"或"Taskmgr.exe"进程之中,监视蠕虫自身进程状况。注入"Lsass.exe"进程之中,并会打开指定的端口。搜索指定用户目录下的"*.ht*"文件,并从中搜集可能存在的电子邮件地址。其会向用户"OUTLOOK"中的联系人以及搜索到的邮件地址发送包含自身的邮件(附件文件名为"Sex_For_You_Life.JPG.pif"、"I am For u.doc.exe"、"s3msong.MP3.pif"等)。"爱情之门"变种k还会利用自带的密码表进行自我传播。其会搜索存在弱口令的网上邻居,并会尝试向这些计算机的"%SystemRoot%system32"目录下复制病毒文件"NetServices.exe",同时还会创建名为"Microsoft NetWork FireWall Services"的服务,以此实现开机后自动激活这些病毒。"爱情之门"变种k所释放的DLL文件运行后会打开被感染计算机的指定端口并进行监听,以此作为后门。攻击者在访问该计算机时,其会自动为攻击者开启一个"cmd shell",从而使得被感染计算机面临被远程控制的威胁。
英文名称:Backdoor/Httpbot.gg
中文名称:"HTTP炸弹"变种gg
病毒长度:11073字节
病毒类型:后门
危险级别:★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:41f8303c9e05a6cd7d9cc521a3f814c4
特征描述:
Backdoor/Httpbot.gg"HTTP炸弹"变种gg是"HTTP炸弹"后门家族中的最新成员之一,采用"Microsoft Visual C++ 6.0"编写,并且经过加壳保护处理。"HTTP炸弹"变种gg运行时,会将恶意代码注入到新创建的"iexplore.exe"进程中调用运行,以此隐藏自我,防止被轻易地查杀。同时原程序会将自我删除,以此消除痕迹。"HTTP炸弹"变种gg运行时,会在被感染计算机系统的后台连接攻击者指定的远程服务器站点,下载恶意程序至"c:HackFans_259789.exe"并自动调用运行,以此实现了自动更新。"HTTP炸弹"变种gg会连接指定URL"http://www.gy*g.com/ip.jpg"获取IP地址等数据,并对这些IP地址或一些随机的IP地址及端口实施DDos攻击,由此可能增加被攻击计算机的负担,或者堵塞用户的网络等。
针对以上病毒,江民反病毒中心建议广大电脑用户:
1、请立即升级江民杀毒软件,开启新一代智能分级高速杀毒引擎及各项监控,防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
2、江民KV网络版的用户请及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒,保证企业信息安全。
3、江民杀毒软件增强虚拟机脱壳技术,能够对各种主流壳以及疑难的"花指令壳"、"生僻壳"病毒进行脱壳扫描,有效清除"壳病毒"。
4、开启江民杀毒软件的系统监控功能,该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理,有效地遏制了未知病毒对系统所造成的干扰和破坏,更大程度的提高了计算机对于未知病毒的防范能力。
5、江民防马墙,能够第一时间发现和阻止带有木马病毒的恶意网页,可以自动搜集恶意网址并加入特征库,阻止了网页木马的传播,有效地保障了用户的上网安全。
6、全面开启BOOTSCAN功能,在系统启动前杀毒,清除具有自我保护和反攻杀毒软件的恶性病毒。
7、江民杀毒软件新增强大的启发式扫描,能够启发扫描90%以上的未知病毒。
8、江民针对感染Delphi编译环境和应用程序的"Delphi侵蚀者"病毒推出了专杀工具,请广大Delphi开发人员和网民立即下载并对系统进行扫描,从而避免成为病毒传播的源头以及被该病毒所感染。下载地址:http://filedown.jiangmin.com/download/JMInducKiller.exe
9、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址:http://online.jiangmin.com/
有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询,或访问江民网站http://www.jiangmin.com进行在线查阅。