·徹底解決services.exe進程病毒·掃出100多個病毒,3個隱身進程(第1版)·20年最強病毒排行榜·U盤“拒絕訪問”病毒的清除辦法·老話新說:iexplore.exe是進程還是病毒·“德夫下載器”修改系統時間動激活病毒·06上半年十大病毒排行榜出爐 灰鴿子成·必須掌握的病毒知識·詳解各種QQ病毒特征及清除方法·只需這幾招:拒絕重復感染病毒
病毒名稱:"愛之門"(Worm_Lovgate.AF)
其他命名:W32.Lovgate.AC@mm (賽門鐵克)
W32/Lovgate.ai@MM (Kaspersky)
Worm.Lovgate.af.enc (瑞星)
WORM_LOVGATE.AG (趨勢)
病毒類型:蠕蟲
病毒長度:131,072 字節
受影響的系統:Windows 95/98/Me/NT/2000/XP/2003
病毒特征:
1、 生成病毒文件
病毒運行後,在系統中生成多個文件,
%Windows%\CDPlay.exe
%System%\iexplore.exe
%System%\RAVMOND.exe
%System%\WinHelp.exe
%System%\Update_OB.exe
%System%\TkBellExe.exe
%System%\hxdef.exe
%System%\Kernel66.dll(該文件屬性為隱藏)
(其中,%Windows%通常為C:\Windows或C:\Winnt,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
2、 修改注冊表
病毒對注冊表進行修改,使得在下次系統啟動時,病毒可隨之自動運行
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
Run = "RAVMOND.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices
"COM System" = "exploier.exe..."
"SystemTra" = "%windows%\CDPlay.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Winhelp" = "%system%\TkBellExe.exe..."
"Hardware Profile" = "%system%\hxdef.exe..."
"Program in Windows"="%system%\IEXPLORE.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Program In Windows = "C:\ %System%\IEXPLORE.EXE"
病毒修改注冊表項,使得txt文件運行時病毒隨之運行
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = "Update_OB.exe %1..."
3、 過電子郵件進行傳播
病毒使用自身的SMTP引擎向外發送帶毒電子郵件,進行傳播。病毒會從多種擴展名的文件中搜集郵件地址,並向這些地址發送帶毒電子郵件。病毒同時會略去還有特定字符的郵件地址。
病毒發送的郵件特征如下
主題:(為下列之一)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
內容:(為下列之一)
pass
Mail failed. For further assistance, please contact!
The message contains Unicode characters and has been sent as a binary attachment.
It's the long-awaited film version of the Broadway hit. The message sent as a binary attachment.
附件名稱:(為下列之一)
document
readme
doc
text
file
data
test
message
body
附件的擴展名:(為下列之一)
bat
cmd
exe
pif
scr
4、 通過網絡共享傳播
病毒將自身拷貝到網絡中的共享文件夾,用以傳播
WinRAR.exe
Internet Explorer.bat
Documents and Settings.txt.exe
Microsoft Office.exe
Windows Media Player.zip.exe
Support Tools.exe
WindowsUpdate.pif
Cain.pif
MSDN.ZIP.pif
autoexec.bat
findpass.exe
client.exe
i386.exe
winhlp32.exe
xcopy.exe
mmc.exe
5、 阻止安全軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
NAV
Duba
KAV
本周發作:
病毒名稱:"裡拉"( Worm_Livra.A)
病毒類型:蠕蟲病毒
發作日期:9月11日
危害程度:病毒打開網頁,在屏幕中央顯示橢圓圖案,並在屏幕的左上角顯示以下信息"AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg"。
專家提醒:
1、 不要隨便登錄不明網站,一些不正規的網站缺少必要的安全措施和管理,,比較容易被病毒感染,成為病毒傳播的又一途徑。如出現IE起始頁面被更改或桌面上出現不明鏈接且無法刪除等異常症狀,應先斷開網絡,再進行病毒的查殺工作。
2、 因為很多病毒是利用已知的漏洞和缺陷進行傳播的,所以用戶一定要定期升級操作系統和常用軟件,並及時修補漏洞,堵住病毒入口。