论坛: 病毒专区 标题: 中了wingage、winhelp病毒,怎么把它清除掉啊 复制本贴地址    
作者: gxiaocity [gxiaocity]    论坛用户   登录
开帮忙啊

地主 发表时间: 04/18 17:31

回复: 如风 [fqjpower]   论坛用户   登录
是w32.HLLW.Lovgate.G蠕虫病毒,下面是关于这个的详细描述供你参考:
  
病毒名称:w32.HLLW.Lovgate.G蠕虫
病毒描述:w32.HLLW.Lovgate.G蠕虫是w32.HLLW.Lovgate.c的一个变种,它包含邮件群发功能和后门功能。这个病毒在win95/98/xp下某些功能将无法正常使用。

传播机理:
      该蠕虫传播有两种方式,通过电子邮件和局域网共享传播。当机器被感染后将做如下操作:
1.将病毒自身拷贝到%system%(通常是winnt/system32)目录下,并改成以下这些文件名:
  Ravmond.exe
  WinGate.exe
  WinDriver.exe
  Winrpc.exe
  Winhelp.exe
  Iexplore.exe
  Kernel66.dll
  NetServices.exe
这些文件在win2000大小都是104k.。

2.拷贝木马文件到%system%目录下并执行它,木马的文件名可能是以下文件名中的一种或几种:
    Task688.dll
    Ily688.dll
    Reg678.dll
    111.dll


3.修改注册表键值,以便使蠕虫能在下次系统重起后自动运行:
在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加以下键值:
winhelp %system%\winhelp.exe
WinGate initialize %system%\WinGate.exe -remoteshell
Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg
Program in Windows %system%\iexplore.exe

4.添加注册表键值:
在HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows中添加run RAVMOND.EXE项。

5.修改系统文本文件打开程序的关联项,使得系统在今后每次打开文本文件的时候都会被运行一遍,修改的键值为在
HKEY_CLASS_ROOT\txtfile\shell\open\command中添加了winrpc.exe %1

6.拷贝它自己到所有本地共享文件夹中,可能以下面的文件名:
   Are you looking for Love.doc.exe
   autoexec.bat
   The world of lovers.txt.exe
   How To Hack Websites.exe
   Panda Titanium Crack.zip.exe
   Mafia Trainer!!!.exe
   100 free essays school.pif
   AN-YOU-SUCK-IT.txt.pif
   Sex_For_You_Life.JPG.pif
   CloneCD + crack.exe
   Age of empires 2 crack.exe
   MoviezChannelsInstaler.exe
   Star Wars II Movie Full Downloader.exe
   Winrar + crack.exe
   SIMS FullDownloader.zip.exe
   MSN Password Hacker and Stealer.exe

7.监听系统的1092,6000,20168端口,并通过电子邮件将本地信息发往某些特定的地址。

8.运行一个需要密码验证的后门程序在1092端口,当入侵者输入正确的口令后他将获得一个系统的shell。

9.运行一个无需任何验证的后门程序在20168端口。

10.运行一个功能并不完善的木马程序在6000端口,但是由于程序上的bug,有的时候他不能正常运行,该后门程序会记录系统在网络上通讯时所用的账号和密码,并将相关的信息以纯文本形式记录在C:\Netlog.txt文件中。

11.从html文件中查找邮件地址并向该地址发送病毒副本,回复outlook中所有收到的信件并将病毒副本作为附件在回复信件中发出。发送的附件名称是由病毒程序从内定的列表里随机提出的文件名,有三种格式 .exe .pif 和.scr,列表中的文件名包括:
I am For u.doc.exe
Britney spears nude.exe.txt.exe
joke.pif
DSL Modem Uncapper.rar.exe
Industry Giant II.exe
StarWars2 - CloneAttack.rm.scr
dreamweaver MX (crack).exe
Shakira.zip.exe
SETUP.EXE
Macromedia Flash.scr
How to Crack all gamez.exe
Me_nude.AVI.pif
s3msong.MP3.pif
Deutsch BloodPatch!.exe
Sex in Office.rm.scr
The hardcore game-.pif
信件发送的标题和内容也是从内置的表单中随即提取出来的,包括:
Subject: Reply to this!
Message Body: For further assistance, please contact!
Attachment: About_Me.txt.pif

Subject: Let's Laugh
Message Body: Copy of your message, including all the headers is attached.
Attachment: driver.exe

Subject: Last Update
Message Body: This is the last cumulative update.
Attachment: Doom3 Preview!!!.exe

Subject: for you
Message Body: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. 
(AP Photo/Denis Poroy)Attachment: enjoy.exe

Subject: Great
Message Body: Send reply if you want to be official beta tester.
Attachment: YOU_are_FAT!.TXT.pif


Subject: Help
Message Body: This message was created automatically by mail delivery software (Exim).
Attachment: Source.exe

Subject: Attached one Gift for u..
Message Body: It's the long-awaited film version of the Broadway hit. 
Set in the roaring 20's, this is the story of Chicago 
chorus girl Roxie Hart (Zellweger), who shoots her unfaithful 
lover (West).Attachment: Interesting.exe

Subject: Hi
Message Body: Adult content!!! Use with parental advisory.
Attachment: README.TXT.pif

Subject: Hi Dear
Message Body: Patrick Ewing will give Knick fans something to cheer about Friday night.
Attachment: images.pif

Subject: See the attachement
Message Body: Send me your comments...
Attachment: Pics.ZIP.scr

12.描局域网上所有的机器,并使用administrator用户及从密码列表中所列出的密码对该机器的共享进行测试连接。密码列表包括:
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
另外病毒程序会先尝试使用空密码连接。

13.一旦病毒成功的与局域网上的机器建立起连接,它就会将自身拷贝过去:
\\\admin$\system32\netservices.exe,并将netservices.exe加载成系统服务,服务名叫作Microsoft NetWork FireWall Services

14.创建名为"Windows Management Instrumentation Driver
 Extension,"的服务并指向%System32%\WinDriver.exe程序。

15.创建名为"NetMeeting Remote Desktop (RPC) Sharing,"的服务并指向"Rundll32.exe task688.dll ondll_server."

16.将自己设置为系统服务。

17.将木马程序以线程的方式注入到系统程序lsass.exe,监听在1092端口。

18.将木马程序以线程的方式注入到系统程序lsass.exe,监听在20168端口。

19.将一个监测程序以线程的方式注入到任意的Explorer.exe或是Taskmgr.exe中,它是以远程线程方式注入的,用来监测病毒程序的运行。一旦该监测程序停止,蠕虫程序会重新注入一个线程到任意的Explorer.exe 或是Taskmgr.exe中。蠕虫监测程序运行的目的是为了使系统的进程中始终有活着的蠕虫进程。

w32.HLLW.Lovgate.G蠕虫的危害:
多次复制自身,占用磁盘空间。
扫描局域网,影响网络带宽。
运行病毒线程,影响系统性能。
记录账号及密码,泄漏本地敏感信息。
预留后门程序,危及系统安全。

w32.HLLW.Lovgate.G蠕虫检测方法:
手动检测方法:察看系统目录system32下是否有大小为104k的相
关程序(参见传播机理1):
察看系统目录system32下是否有相应的动态连接库文件(参见传播机理2)
检查系统是否开放1092和20168端口。
察看注册表中是否有相关的键值(相关键值参照传播机理3,4,5)
察看系统服务中是否存在相关服务(请参照传播机理13,14,15)

清除方法:
第一步:使用升级了最新病毒库的杀毒软件对系统进行扫描,记录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除)
第二步:查杀相关进程
1)打开Windows任务管理器如果是在Windows 95/98/me系统中,按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统中,按下CTRL+SHIFT+ESC即可然后单击“进程”。
2) 在列出的运行进程列表中,找到该病毒文件名或刚才记录下的文件名。
3) 选中这个文件,然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本.
4) 重复2)和3),杀死所有正在运行的的病毒进程, 包括所有的病毒文件和刚才纪录的文件。
5) 为了判断这个病毒进程是否已经被终止,关闭任务管理器,接着再打开它。
6) 关闭任务管理器。
第三步:删除相应的键值
从注册表中删除病毒的自动启动键值,防止当系统重起的时候这个病毒又开始执行。
  1) 打开注册表编辑器。(为了打开它,请单击“开始”〉“运行”,输入
"REGEDIT",单击回车。)
  2) 在左边的面板中,双击下面的选项:HKEY_LOCAL_MACHINE>Software>
Microsoft>Windows>CurrentVersion>Run
  3) 在右边的面板中,找到和删除下面的键值:
WinHelp = "C:\WINNT\System32\winHelp.exe" 
WinGate initialize = "C:\WINNT\System32\WinGate.exe-remoteshell" 
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg" 
Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE"
  4) 在左边的面板中,双击下面的选项:
HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>CurentVersion>Windows 
  5) 在右边的面板中,找到和删除下面的键值:
Run = 擱AVMOND.EXE?
第四步:定位和修改注册表Shell Spawning (用户向shell提出请求,shell解释并将请求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning)当一个用户运行一个.txt文件时,注册表的Shell Spawning将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒之前的设置 :
 1) 仍然是进入注册表编辑器,在左边的面板中,双击下面的选项:
HKEY_CLASSES_ROOT>txtfile>shell>open>command ;
 2) 在右边的面板中,找到下面的键值: Default;
 3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时,选中它;
 4) 如果这个数据是这个病毒的文件,右击Default,选择编辑,去修改它的值;
 5) 在这个数据的输入框中,删除它的值,然后再输入缺省值:%SysDir%\NOTEPAD.EXE %1 
 6) 单击"OK";
 7) 关闭注册表编辑器。
第五步:在系统文件中删除自动启动条目:
必须在系统安全启动之前删除系统文件中的自启动条目:
 1) 打开WIN.INI
单击“开始”〉“运行”,输入"WIN.INI",按回车。
 2) 在[Windows]部分下面,在以下的行中找到并删除该病毒的文件名:
Run=%System%RAVMOND.exe(注意:%System%为Windows系统文件夹,它的目录一般为:C:\Windows\System 或C:\Windows\System32)
 3) 关闭WIN.INI,当提示是否保存时,单击"Yes"。*注意:如果你不能再内存中终止该病毒的进程,按照前面描述的步骤,重起你的系统。
第六步:在Windows 2000/NT/XP中关闭该病毒服务
 1) 重起你的系统,终止病毒的服务。接下来,在注册表中 删除它的服务;
 2) 打开注册表编辑器;
 3) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Windows Management Instrumentation Driver Extension 
 4) 右击"Windows Management Instrumentation DriverExtension"选择"Delete"。
 5) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>NetMeeting Remote Desktop (RPC) Sharing 
 6) 右击NetMeeting Remote Desktop (RPC) Sharing",选择"Delete"。
 7) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Microsoft NetWork FireWall Services 
 8) 右击"Microsoft NetWork FireWall Services"选择"Delete"。
 9) 关闭注册表编辑器。
第七步:手动删除刚才记录下来的病毒文件。


B1层 发表时间: 04/18 18:50

回复: 如风 [fqjpower]   论坛用户   登录
专杀工具我已经发到你的邮箱了,请注意查收!就是放不上来!~~呜~~

B2层 发表时间: 04/18 19:08

回复: CyberSpy [cyberspy]   论坛用户   登录
 如风兄回来怎么不打个招呼? :)
 呵呵

B3层 发表时间: 04/18 21:15

回复: gxiaocity [gxiaocity]   论坛用户   登录
多谢风哥了。
不甚感激

B4层 发表时间: 04/19 18:02

回复: wineggdrop [wineggdrop]   论坛用户   登录
手动杀是没有用的,很简单,因为那东西会启动多个程序,那些程序间是互相监视的。例如你将iexplore.exe杀掉了,wingate.exe又会重新启动一个新iexplore.exe;你将iexplore.exe文件删除了,很快又会被复制一个新的出来,注册表的启动值和服务也是一样被互相监视的,手动是没办法删除的,因为我试过删除这后门,最后还是要查出所有它的启动服务和启动的程序并写了一个程序去将它杀掉。还有就是,瑞星和kv都不能有效将这东西完全杀掉,说是杀好了,但重启后还是会有启动项被再加上去并且有两个服务还是会启动的。

B5层 发表时间: 04/20 07:35

回复: xietw [xietw]   论坛用户   登录
大侠,winhelp病毒专杀能不能发我一份。xietingwei81@163.com,谢谢。

B6层 发表时间: 11-01-03 15:20

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号