前言:这应该是比较老的病毒了,如果没记错,应该是出现在2004年左右吧。今天在剑盟下到了样本,这类邮件类的蠕虫我只分析过Warezov,这个爱情后门还是写的不错的,我花了4个多小时去看,中间查了些资料,还有些不懂的,挺累的。要不断学习进步才行!本人是菜鸟,难免会有遗漏的地方。
病毒名称:Email-Worm.Win32.LovGate.ae(Kaspersky)
病毒大小:192000 bytes
加壳方式:多层ASPACK,JDPACK
样本MD5:42ab20ee5f4757a44edff753bc508840
样本SHA1:cc2df80aea902bec125601cd3202a3e5e9010613
编写语言:Microsoft Visual C++ 6.0
病毒类型:后门、蠕虫
传播方式:邮件、网络
行为分析:
病毒运行后,会释放自身拷贝和后门组件到:
%Windows%SVCHOST.EXE
%Windows%SYSTRA.EXE
%System32%HXDEF.EXE
%System32%IEXPLORE.EXE
%System32%KERNEL66.DLL
%System32%RAVMOND.EXE
%System32%TKBELLEXE.EXE
%System32%UPDATE_OB.EXE
%System32%LMMIB20.DLL
%System32%MSJDBC11.DLL
%System32%MSSIGN30.DLL
%System32%NETMEETING.EXE
%System32%ODBC16.DLL
%System32%SPOLLSV.EXE
病毒会在各分区根目录复制副本,创建autorun.inf:
AUTORUN.INF
COMMAND.EXE
AUTORUN.INF内容:
[AUTORUN]
Open="c:COMMAND.EXE" /StartExplorer
病毒创建启动项,以达到随机自启动的目的:
[HKEY_CURRENT_USERSoftwareMicrosoftWindows
NTCurrentVersionWindows]
run = "RAVMOND.exe"
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!