“爱情后门”新变种出现能盗窃用户密码

发表于:2007-05-25来源:作者:点击数: 标签:爱情后门新变种盗窃变种出现
2003年11月17日,瑞星在全球率先截获“ 爱情 后门” 病毒 的最新变种—“ 爱情 后门变种T(Worm.LovGate.T)”,该 病毒 除了具有蠕虫、黑客、后门等 病毒 特性外,还增加了感染系统文件、盗窃 密码 两大全新功能,具有更大的危险性。目前国内外大部分反 病毒

2003年11月17日,瑞星在全球率先截获“爱情后门”病毒的最新变种—“爱情后门变种T(Worm.LovGate.T)”,该病毒除了具有蠕虫、黑客、后门等病毒特性外,还增加了感染系统文件、盗窃密码两大全新功能,具有更大的危险性。目前国内外大部分反病毒软件还无法将该病毒变种查出,因此安全专家提醒广大电脑用户更要小心提防该病毒


  “爱情后门变种T”病毒会搜索系统中的所有可执行文件,在尾部加入一个远程窃取信
息的病毒模块,只要被感染的文件运行,就会激活该病毒模块,然后搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中,通过网络泄露出去。


  病毒运行时还会将自己复制到系统目录下,通过修改注册表和WIN.INI文件两种方式进行自启动,大大增强了病毒运行的可能性,病毒被激活时会通过猜密码的方式来破译局域网计算机的管理员密码,取得最高权限,成功后便能控制该计算机,如果不能成功,病毒还会将自己拷贝到局域网计算机的共享目录下,来诱使局域网中的其它计算机用户运行该病毒


  病毒运行时还会给系统开后门,并且每隔一小时就会向病毒作者发送一封记录被感染计算机IP信息的信件,使病毒作者能控制用户计算机。该病毒还会搜索用户的E-MAIL地址,然后通过发送大量病毒邮件来进行网络传播,并极有可能会阻塞网络。安全专家提醒用户,尽快升级杀毒软件


   


  “爱情后门变种T”病毒的详细发作现象:


  1.感染系统文件、偷盗密码


  感染系统中的所有可执行文件,在这些文件尾部加入一个通过远程窃取信息的模块,该病毒模块的作用是搜索包含如下字眼的窗口:“登录”、“注册”、“密码”、“口令”、“账号”、“pass”,偷盗这些窗口中的密码信息,并存于syszsl.dll文件之中。


  2.超强的病毒感染与启动能力。


  病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒体分别感染系统,并修改相应的注册表和启动文件win.ini(在其中加入:run=rpcsrv.exe)进行自启动。


  3.通过密码试探试图控制局域网计算机


  病毒会利用远程连接指令对局域网中的有guest和Administrator账号的计算机进行简单密码试探,如果成功将自己复制到对方的sytem32目录中,命名为:stg.exe,并注册成Window Remote Service服务来感染对方计算机,同时放出一个名为win32vxd.dll的盗密码文件,以盗取用户密码


  4.建立后门,威胁局域网安全。


  病毒会使用10168端口在系统中建立一个后门,等待外界用户连入,对用户计算机进行远程控制。


  5.疯狂进行局域网传播


  病毒运行时会不停地搜索网络资源,导致整个局域网资源被占用,如果发现有共享目录,则将自身复制过去,病毒文件名有以下几种可能:humor.exe,fun.exe,docs.exe,s3msong.exe,midsong.exe,billgt.exe,Card.EXE,SETUP.EXE,searchURL.exe,tamagotxi.exe,hamster.exe,news_doc.exe,PsPGame.exe,joke.exe,images.exe,pics.exe,来诱使用户运行病毒,造成局域网病毒泛滥。


  6.发送病毒邮件,阻塞网络。


  病毒运行时会通过注册表来搜索电脑中的email地址,然后向这些地址发送大量的带毒邮件来阻塞网络。


  邮件标题随机从以下字符串中选出:


  Cracks!


  The patch


  Last Update


  Test this ROM! IT ROCKS!.


  Adult content!!! Use with parental advi


  Check our list and mail your requests!


  I think all will work fine.


  Send reply if you want to be official b


  Test it 30 days for free.


  7.不断通知病毒作者。


  病毒运行后,会每隔1小时发送一次通知邮件到病毒作者的一个信箱,邮件的标题为:xyz123xyz123,内容为中毒系统的IP地址信息,当病毒作者收到病毒通知信件后,就可以利用病毒开的后门对用户计算机进行远程控制,为所欲为。

原文转自:http://www.ltesting.net