|
作者: feimeng [feimeng] 论坛用户 | 登录 |
我机子上安装的是双系统,98和2000,装了瑞星杀毒,最新版的,问题出在RavMonD.exe进程上,这个进程经常占用CPU高达95%,搞的机子很慢,但有时没问题,不知道是怎么事,请各位帮忙解决一下。 |
地主 发表时间: 09/15 20:00 |
回复: disun [benww] 论坛用户 | 登录 |
病毒描述:w32.HLLW.Lovgate.G蠕虫是w32.HLLW.Lovgate.c的一 个变种,它包含邮件群发功能和后门功能。这个病毒在 win95/98/xp下某些功能将无法正常使用。 传播机理: 该蠕虫传播有两种方式,通过电子邮件和局域网共享传 播。当机器被感染后将做如下操作: 1.将病毒自身拷贝到%system%(通常是winnt/system32)目录下,并改成以下这些文件名: Ravmond.exe WinGate.exe WinDriver.exe Winrpc.exe Winhelp.exe Iexplore.exe Kernel66.dll NetServices.exe 这些文件在win2000大小都是104k.。 2.拷贝木马文件到%system%目录下并执行它,木马的文件名可能是以下文件名中的一种或几种: Task688.dll Ily688.dll Reg678.dll 111.dll 3.修改注册表键值,以便使蠕虫能在下次系统重起后自动运行: 在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加以下键值: winhelp %system%\winhelp.exe WinGate initialize %system%\WinGate.exe -remoteshell Remote Procedure Call Locator rundll32.exe reg678.dll ondll_reg Program in Windows %system%\iexplore.exe 4.添加注册表键值: 在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 中添加run RAVMOND.EXE项。 5.修改系统文本文件打开程序的关联项,使得系统在今后每次 打开文本文件的时候都会被运行一遍,修改的键值为在 HKEY_CLASS_ROOT\txtfile\shell\open\command中添加了winrpc.exe %1 6.拷贝它自己到所有本地共享文件夹中,可能以下面的文件名: Are you looking for Love.doc.exe autoexec.bat The world of lovers.txt.exe How To Hack Websites.exe Panda Titanium Crack.zip.exe Mafia Trainer!!!.exe 100 free essays school.pif AN-YOU-SUCK-IT.txt.pif Sex_For_You_Life.JPG.pif CloneCD + crack.exe Age of empires 2 crack.exe MoviezChannelsInstaler.exe Star Wars II Movie Full Downloader.exe Winrar + crack.exe SIMS FullDownloader.zip.exe MSN Password Hacker and Stealer.exe 7.监听系统的1092,6000,20168端口,并通过电子邮件将本地信息发往某些特定的地址。 8.运行一个需要密码验证的后门程序在1092端口,当入侵者输 入正确的口令后他将获得一个系统的shell。 9.运行一个无需任何验证的后门程序在20168端口。 10.运行一个功能并不完善的木马程序在6000端口,但是由于程 序上的bug,有的时候他不能正常运行,该后门程序会记录系统 在网络上通讯时所用的账号和密码,并将相关的信息以纯文本形 式记录在C:\Netlog.txt文件中。 11.从html文件中查找邮件地址并向该地址发送病毒副本,回复 outlook中所有收到的信件并将病毒副本作为附件在回复信件中 发出。发送的附件名称是由病毒程序从内定的列表里随机提出的 文件名,有三种格式 .exe .pif 和.scr,列表中的文件名包括: I am For u.doc.exe Britney spears nude.exe.txt.exe joke.pif DSL Modem Uncapper.rar.exe Industry Giant II.exe StarWars2 - CloneAttack.rm.scr dreamweaver MX (crack).exe Shakira.zip.exe SETUP.EXE Macromedia Flash.scr How to Crack all gamez.exe Me_nude.AVI.pif s3msong.MP3.pif Deutsch BloodPatch!.exe Sex in Office.rm.scr The hardcore game-.pif 信件发送的标题和内容也是从内置的表单中随即提取出来的,包括: Subject: Reply to this! Message Body: For further assistance, please contact! Attachment: About_Me.txt.pif Subject: Let's Laugh Message Body: Copy of your message, including all the headers is attached. Attachment: driver.exe Subject: Last Update Message Body: This is the last cumulative update. Attachment: Doom3 Preview!!!.exe Subject: for you Message Body: Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)Attachment: enjoy.exe Subject: Great Message Body: Send reply if you want to be official beta tester. Attachment: YOU_are_FAT!.TXT.pif Subject: Help Message Body: This message was created automatically by mail delivery software (Exim). Attachment: Source.exe Subject: Attached one Gift for u.. Message Body: It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).Attachment: Interesting.exe Subject: Hi Message Body: Adult content!!! Use with parental advisory. Attachment: README.TXT.pif Subject: Hi Dear Message Body: Patrick Ewing will give Knick fans something to cheer about Friday night. Attachment: images.pif Subject: See the attachement Message Body: Send me your comments... Attachment: Pics.ZIP.scr 12. 扫描局域网上所有的机器,并使用administrator用 户及从密码列表中所列出的密码对该机器的共享进行测试连接。密码列表包括: zxcv yxcv xxx win test123 test temp123 temp sybase super sex secret pwd pw123 Password owner oracle mypc123 mypc mypass123 mypass love login Login Internet home godblessyou god enable database computer alpha admin123 Admin abcd aaa 88888888 2600 2003 2002 123asd 123abc 123456789 1234567 123123 121212 11111111 110 007 00000000 000000 pass 54321 12345 password passwd server sql !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 1234 111 root abc123 12345678 abcdefg abcdef abc 888888 666666 111111 admin administrator guest 654321 123456 321 123 另外病毒程序会先尝试使用空密码连接。 13.一旦病毒成功的与局域网上的机器建立起连接,它就会将自身拷贝过去: \\\admin$\system32\netservices.exe 并将netservices.exe加载成系统服务,服务名叫作Microsoft NetWork FireWall Services 14.创建名为"Windows Management Instrumentation Driver Extension,"的服务并指向%System32%\WinDriver.exe程序。 15.创建名为"NetMeeting Remote Desktop (RPC) Sharing,"的 服务并指向"Rundll32.exe task688.dll ondll_server." 16.将自己设置为系统服务。 17.将木马程序以线程的方式注入到系统程序lsass.exe,监听在1092端口。 18.将木马程序以线程的方式注入到系统程序lsass.exe,监听在20168端口。 19.将一个监测程序以线程的方式注入到任意的Explorer.exe 或是Taskmgr.exe中,它是以远程线程方式注入的,用来监测病 毒程序的运行。一旦该监测程序停止,蠕虫程序会重新注入一个 线程到任意的Explorer.exe 或是Taskmgr.exe中。蠕虫监测程序 运行的目的是为了使系统的进程中始终有活着的蠕虫进程。 w32.HLLW.Lovgate.G蠕虫的危害: 多次复制自身,占用磁盘空间。 扫描局域网,影响网络带宽。 运行病毒线程,影响系统性能。 记录账号及密码,泄漏本地敏感信息。 预留后门程序,危及系统安全。 w32.HLLW.Lovgate.G蠕虫检测方法: 手动检测方法:察看系统目录system32下是否有大小为104k的相 关程序(参见传播机理1): 察看系统目录system32下是否有相应的动态连接库文件(参见传播机理2) 检查系统是否开放1092和20168端口。 察看注册表中是否有相关的键值(相关键值参照传播机理3,4,5) 察看系统服务中是否存在相关服务(请参照传播机理13,14,15) 清除方法: 第一步:使用升级了最新病毒库的杀毒软件对系统进行扫描,记 录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除) 第二步:查杀相关进程 1)打开Windows任务管理器如果是在Windows 95/98/me系统中, 按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统 中,按下CTRL+SHIFT+ESC即可然后单击“进程”。 2) 在列出的运行进程列表中,找到该病毒文件名或刚才记录下的文件名。 3) 选中这个文件,然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本. 4) 重复2)和3),杀死所有正在运行的的病毒进程, 包括所有的病毒文件和刚才纪录的文件。 5) 为了判断这个病毒进程是否已经被终止,关闭任务管理器,接着再打开它。 6) 关闭任务管理器。 第三步:删除相应的键值 从注册表中删除病毒的自动启动键值,防止当系统重起的时候这个病毒又开始执行。 1) 打开注册表编辑器。(为了打开它,请单击“开始”〉“运行”,输入 "REGEDIT",单击回车。) 2) 在左边的面板中,双击下面的选项: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run 3) 在右边的面板中,找到和删除下面的键值: WinHelp = "C:\WINNT\System32\winHelp.exe" WinGate initialize = "C:\WINNT\System32\WinGate.exe -remoteshell" Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg" Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE" 4) 在左边的面板中,双击下面的选项: HKEY_CURRENT_USER>Software>Microsoft>WindowsNT> CurentVersion>Windows 5) 在右边的面板中,找到和删除下面的键值: Run = �RAVMOND.EXE? 第四步:定位和修改注册表Shell Spawning (用户向shell提出请求,shell解释并将请 求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning) 当一个用户运行一个.txt文件时,注册表的Shell Spawning 将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒 之前的设置 : 1) 仍然是进入注册表编辑器,在左边的面板中,双击下面的选项: HKEY_CLASSES_ROOT>txtfile>shell>open>command ; 2) 在右边的面板中,找到下面的键值: Default; 3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时, 选中它; 4) 如果这个数据是这个病毒的文件,右击Default,选择编辑,去 修改它的值; 5) 在这个数据的输入框中,删除它的值,然后再输入缺省值: %SysDir%\NOTEPAD.EXE %1 6) 单击"OK"; 7) 关闭注册表编辑器。 第五步:在系统文件中删除自动启动条目 必须在系统安全启动之前删除系统文件中的自启动条目 1) 打开WIN.INI 单击“开始”〉“运行”,输入"WIN.INI",按回车。 2) 在[Windows]部分下面,在以下的行中找到并删除该 病毒的文件名: Run=%System%RAVMOND.exe (注意:%System%为Windows系统文件夹,它的目录一般 为:C:\Windows\System 或C:\Windows\System32) 3) 关闭WIN.INI,当提示是否保存时,单击"Yes"。 *注意:如果你不能再内存中终止该病毒的进程,按照前面描述 的步骤,重起你的系统。 第六步:在Windows 2000/NT/XP中关闭该病毒服务 1) 重起你的系统,终止病毒的服务。接下来,在注册表中 删除它的服务; 2) 打开注册表编辑器; 3) 在左边的面板中,双击下面的选项: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>Windows Management Instrumentation Driver Extension 4) 右击"Windows Management Instrumentation Driver Extension"选择"Delete"。 5) 在左边的面板中,双击下面的选项: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>NetMeeting Remote Desktop (RPC) Sharing 6) 右击NetMeeting Remote Desktop (RPC) Sharing", 选择"Delete"。 7) 在左边的面板中,双击下面的选项: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>Microsoft NetWork FireWall Services 8) 右击"Microsoft NetWork FireWall Services" 选择"Delete"。 9) 关闭注册表编辑器。 第七步:手动删除刚才记录下来的病毒文件。 w32.HLLW.Lovgate专杀工具 |
B1层 发表时间: 09/15 20:09 |
回复: feimeng [feimeng] 论坛用户 | 登录 |
不过我的机子不是病毒啊,我用最新的瑞星杀毒扫描,没有发现病毒,而且我在机子里面的瑞星文件中发现了RavMonD.exe,重新安装还是有,这个应该不是病毒,并且用任务管理器结束任务也不可能,除非从服务里面结束,然后重新启动就好了,再重新启动就有可能再犯,这个我实在是搞不明白。 |
B2层 发表时间: 09/15 20:27 |
回复: coody [coody] 论坛用户 | 登录 |
到注册表中将run .runonce 键值下的这个程序屏蔽掉 |
B3层 发表时间: 09/16 14:19 |
回复: feimeng [feimeng] 论坛用户 | 登录 |
楼上的请问一下,这两个键值是干什么用的?能不能说明白一点? |
B4层 发表时间: 09/16 18:54 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号