江民9.30病毒播报：爱情之门和HTTP炸弹变种

　2009-09-30 20:40:09　来源：WEB开发网　　　

核心提示：江民今日提醒您注意：在今天的病毒中Worm/LovGate.k“爱情之门”变种k和Backdoor/Httpbot.gg“HTTP炸弹”变种gg值得关注，英文名称：Worm/LovGate.k中文名称：“爱情之门”变种k病毒长度：110592字节病毒类型：蠕虫危险级别：★★影响平台：Win 9X/ME/NT/2000/

江民今日提醒您注意：在今天的病毒中Worm/LovGate.k“爱情之门”变种k和Backdoor/Httpbot.gg“HTTP炸弹”变种gg值得关注。

英文名称：Worm/LovGate.k
　　中文名称：“爱情之门”变种k
　　病毒长度：110592字节
　　病毒类型：蠕虫
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：f5a6d451c72bb3b2072b8ca08c627604
　　特征描述：
　　Worm/LovGate.k“爱情之门”变种k是“爱情之门”蠕虫家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“爱情之门”变种k运行后，会自我复制多份到被感染计算机系统的“%SystemRoot%\system32\”文件夹下，重命名为“WinDriver.exe”、“WinHelp.exe”、“winrpc.exe”、“WinGate.exe”、“RAVMOND.exe”和“IEXPLORE.EXE”。另外还复制为“kernel66.dll”，并修改该文件的创建时间，设置该文件为“系统、只读、隐藏”属性。释放恶意DLL组件到“%SystemRoot%\system32\”文件夹下，并复制为“ily668.dll”、“Task688.dll”、“reg678.dll”和“111.dll”。“爱情之门”变种k会在被感染计算机中注册名为“Windows Management Instrumentation Driver Extension”和“PRogram In Windows”的系统服务，以此实现“WinDriver.exe”和“IEXPLORE.EXE”的开机自启动；注册名为“ll_reg”和“NetMeeting Remote Desktop (RPC) Sharing”的系统服务，以此实现“Task688.dll”以不同的参数自动运行。在注册表启动项中添加新键“WinHelp”和“WinGate initialize”，以此实现“WinHelp.exe”和“WinGate.exe”的开机自启。在注册表启动项中添加新键“Remote Procedure Call Locator”，以此实现“reg678.dll”的开机自动运行。“爱情之门”变种k会修改“TXT”文件的关联打开方式，致使用户每次打开文本文件时会自动调用自身副本“winrpc.exe”。将恶意代码注入到系统中已存在的“Explorer.exe”或“Taskmgr.exe”进程之中，监视蠕虫自身进程状况。注入“Lsass.exe”进程之中，并会打开指定的端口。搜索指定用户目录下的“*.ht*”文件，并从中搜集可能存在的电子邮件地址。其会向用户“Outlook”中的联系人以及搜索到的邮件地址发送包含自身的邮件（附件文件名为“Sex_For_You_Life.JPG.pif”、“I am For u.doc.exe”、“s3msong.MP3.pif”等）。“爱情之门”变种k还会利用自带的密码表进行自我传播。其会搜索存在弱口令的网上邻居，并会尝试向这些计算机的“%SystemRoot%\system32\”目录下复制病毒文件“NetServices.exe”，同时还会创建名为“Microsoft NetWork FireWall Services”的服务，以此实现开机后自动激活这些病毒。“爱情之门”变种k所释放的DLL文件运行后会打开被感染计算机的指定端口并进行监听，以此作为后门。攻击者在访问该计算机时，其会自动为攻击者开启一个“cmd shell”，从而使得被感染计算机面临被远程控制的威胁。

英文名称：Backdoor/Httpbot.gg
　　中文名称：“HTTP炸弹”变种gg
　　病毒长度：11073字节
　　病毒类型：后门
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：41f8303c9e05a6cd7d9cc521a3f814c4
　　特征描述：
　　Backdoor/Httpbot.gg“HTTP炸弹”变种gg是“HTTP炸弹”后门家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，并且经过加壳保护处理。“HTTP炸弹”变种gg运行时，会将恶意代码注入到新创建的“iexplore.exe”进程中调用运行，以此隐藏自我，防止被轻易地查杀。同时原程序会将自我删除，以此消除痕迹。“HTTP炸弹”变种gg运行时，会在被感染计算机系统的后台连接攻击者指定的远程服务器站点，下载恶意程序至“c:\HackFans_259789.exe”并自动调用运行，以此实现了自动更新。“HTTP炸弹”变种gg会连接指定URL“http://www.gy*g.com/ip.jpg”获取IP地址等数据，并对这些IP地址或一些随机的IP地址及端口实施DDos攻击，由此可能增加被攻击计算机的负担，或者堵塞用户的网络等。