[注意]最近一段时间worm病毒有点猖狂

提醒大家注意，最近一段时间，一种叫worm.sobig的病毒在网络中传播较广。这种蠕虫病毒会慢慢耗干你的资源，严重影响运行速度，甚至造成系统崩溃。
新的瑞星和KV江民2003都能杀此毒。最好在更新的最新病毒库后，在DOS状态下，用软盘启动彻底杀毒。

这两天单位局域网净是“爱之门”病毒，真烦

KILL安全胄甲 inoculateIT v23.61.21 vet 10.5/4480 版及kill 98/2000 v43.21可检测/清除此病毒。


　日前，全面整体网络安全解决方案及服务提供商--冠群金辰[CA-JinChen]发出病毒警告，一种新型蠕虫病毒又在市面上出现，并危害着大家的电脑及网络。该病毒名为Win32.Lovgate.J(又名为I-Worm.LovGate.j (Kaspersky),PE_LOVGATE.J (Trend), W32.HLLW.Lovgate.I@mm (Symantec),W32/Lovgate.k@M (McAfee), Win32/LovGate.J.Worm)。Win32.Lovgate.j的疯狂度为低级,破坏度为中级,但是具有很强的普及度。以下，我们对其症状及防治进行介绍，以助广大用户有所防范。

　　病毒症状：

　　Lovgate.J是一种通过电子邮件和网络共享传播的互联网蠕虫病毒。但不会在操作系统为W9x的电脑上发作。运行时，蠕虫会拷贝自己的病毒副本文件到系统目录中，且使用下面这些文件名：IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、WINEXE.EXE、WINRPC.EXE、WinDriver.exe、WinGate.exe、WinHelp.exe。同时蠕虫还会生成下面这3个文件：WIN32VXD.DLL(32,768 字节, 蠕虫使用DLL文件来安装钩子函数-Windows hook)；DRWTSN16.EXE(49,152字节, Lovgate.J的感染文件)；WIN32.TMP (病毒感染文件时所生成的临时文件)。

　　不仅如此，该蠕虫病毒还会修改下面这2个注册表键值，以便在用户试图打开文本文件或可执行文件时调用蠕虫文件：

　　HKCR\\exefile\\shell\\open\\command\\(Default), "%SysDir%\\winexe.exe "%1" %*"

　　HKCR\\txtfile\\shell\\open\\command\\(Default), "winrpc.exe %1"

　　蠕虫还会添加下面这些注册表键值，以便Windows每次启动时自动调用Lovgate.J：

　　HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WinHelp, "%SysDir%\\WinHelp.exe"

　　HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WinGate initialize, "%SysDir%\\WinGate.exe  -remoteshell"

　　HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\run, "RAVMOND.exe"

　　HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Remote Procedure Call Locator, "RUNDLL32.EXE reg678.dll  ondll_reg"

　　HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Program In Windows, "%SysDir%\\IEXPLORE.EXE"

　　Lovgate.J也会通过修改下面的注册表将自己注册为一个服务：

　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Management Instrumentation Driver Extension

　　"ImagePath" = "%SYSTEM\\WinDriver.exe - start_server"

　　蠕虫会生成一个名为"I-WORM---IPC-20168"的目标事件，用来避免自身被多次运行。

　　蠕虫通过电子邮件传播时有2种方式。第一种是使用MAPI来回复用户收件箱中的邮件。这些看起来像是正式的回复邮件，都引用原文，并有下列一些特征：([ ]符号中的是可变的)
主题：

　　Re: [original subject]

　　正文：

　　\'[recipient name]\' wrote:

　　====

　　>

　　[Original message (each line prefixed with ">")]

　　====

　　[recipient domain] account auto-reply:

　　If you can keep your head when all about you

　　Are losing theirs and blaming it on you;

　　If you can trust yourself when all men doubt you,

　　But make allowance for their doubting too;

　　If you can wait and not be tired by waiting,

　　Or, being lied about,don\'t deal in lies,

　　Or, being hated, don\'t give way to hating,

　　And yet don\'t look too good, nor talk too wise;

　　... ... more  look to the attachment.

　　> Get your FREE [recipient domain] account now! <

　　蠕虫只引用原文的前512字节内容，如果原始邮件的内容多于512字节，那其他将以。。。。表示。
　　附件(随机选择)：

　　"I am For u.doc.exe"

　　"Britney spears nude.exe.txt.exe"

　　"joke.pif"

　　"DSL Modem Uncapper.rar.exe"

　　"Industry Giant II.exe"

　　"StarWars2 - CloneAttack.rm.scr"

　　"dreamweaver MX (crack).exe"

　　"Shakira.zip.exe"

　　"SETUP.EXE"

　　"Macromedia Flash.scr"

　　"How to Crack all gamez.exe"

　　"Me_nude.AVI.pif"

　　"s3msong.MP3.pif"

　　"Deutsch BloodPatch!.exe"

　　"Sex in Office.rm.scr"

　　"the hardcore game-.pif"

　　第2种方式则是蠕虫直接使用SMTP服务器发送带毒邮件。蠕虫会搜索"我的文档"中的所有.htm文件，找出目标邮件地址。而传播蠕虫的邮件有下列特征：
　主题(随机)：

　　Reply to this!  Let\'s Laugh Last Update for you Great Help Attached one Gift for u.. Hi Dear Hi See the attachement

　　邮件正文(随机)：

　　For further assistance, please contact!

　　Copy of your message, including all the headers is attached.

　　This is the last cumulative update.

　　Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)

　　Send reply if you want to be official beta tester.

　　This message was created automatically by mail delivery software (Exim).

　　It\'s the long-awaited film version of the Broadway hit. Set in the roaring 20\'s, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).

　　Adult content!!! Use with parental advisory.

　　Patrick Ewing will give Knick fans something to cheer about Friday night.

　　Send me your comments...

　　附件名称(随机选择)：

　　About_Me.txt.pif driver.exe Doom3 Preview!!!.exe enjoy.exe YOU_are_FAT!.TXT.pif Source.exe Interesting.exe README.TXT.pif images.pif Pics.ZIP.scr

　　蠕虫利用ipc进行guest和Administrator账号的多个简单密码试探。如果成功，蠕虫会以NetServices.exe为文件名拷贝自己到远程计算机的系统目录下，并创建一个服务"Microsoft NetWork FireWall Services"。蠕虫还会生成一个自己的副本文件，而文件名则是下面中的一个：

　　MSN Password Hacker and Stealer.exe

　　SIMS FullDownloader.zip.exe

　　Winrar + crack.exe

　　Star Wars II Movie Full Downloader.exe

　　MoviezChannelsInstaler.exe

　　Age of empires 2 crack.exe

　　CloneCD + crack.exe

　　Sex_For_You_Life.JPG.pif

　　AN-YOU-SUCK-IT.txt.pif

　　100 free essays school.pif

　　Mafia Trainer!!!.exe

　　Panda Titanium Crack.zip.exe

　　How To Hack Websites.exe

　　The world of lovers.txt.exe

　　autoexec.bat

　　Are you looking for Love.doc.exe

　　蠕虫会把自身的木马功能部分解压缩到一个DLL库文件中，以便此木马以一个单独程序来运行。下面这4个DLL文件的大小都为59,392字节：

　　111.DLL ILY668.DLL REG678.DLL Task688.dll

　　蠕虫会监听TCP端口20168。而木马的DLL库文件会在下面这两个地方注册为一个服务：

　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ll_reg,

　　"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_reg"

　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetMeeting Remote Desktop (RPC) Sharing,

　　"ImagePath" = "RUNDLL32.EXE Task688.dll ondll_server"

　　蠕虫会将文件Win32pwd.sys中的内容发送到hello_dll@163.com，而邮件的主题为007OOT007OOT

　　蠕虫会试图停止内存中包含下面这些字符串的进程：KV、KAV、Duba、NAV、kill、RavMon.exe、Rfw.exe、Gate、McAfee、Symantec、SkyNet、Rising

　　Lovgate.J也会感染系统里的可执行文件，并以自身的副本文件将其替换。

　　文件Win32vxd.dll也是蠕虫Lovgate.J的一部分，它会通过安装一个钩子函数(Windows hook)来欺骗系统，将收集到的信息记录在文件win32add.sys中，并发送到一个特定的邮件地址，而邮件主题为"333www"。

　　病毒的检测/清除

　　KILL安全胄甲 inoculateIT v23.61.21 vet 10.5/4480 版及kill 98/2000 v43.21可检测/清除此病毒。

遭此毒连续迫害。。。苦不堪言！
被迫重装机器N遍。。。惨惨惨。。。。
谢谢商人哥哥提醒！

TMD,原来是这个
害我Q#￥%·#￥%了无数次
怪不得，我装了瑞星和K2002两个防火墙都#￥%·#￥%
唉~没升级的错误

前天我没来
听说我那个机器是死翘翘了
换了现在这个特不好用

妮子MM：不用客气，以后小心。
海明：注意定期升级病毒库，以防预新型病毒。
伊冰MM：此毒还能彻底删除，当然重做系统最为保险。祝好运！

呵~~~
在单位里，我的电脑上没毒了，可别人的电脑里有毒。一访问别人的电脑，我的诺顿就闹个不停，真烦