前言：这应该是比较老的病毒了，如果没记错，应该是出现在2004年左右吧。今天在剑盟下到了样本，这类邮件类的蠕虫我只分析过Warezov，这个爱情后门还是写的不错的，我花了4个多小时去看，中间查了些资料，还有些不懂的，挺累的。要不断学习进步才行！本人是菜鸟，难免会有遗漏的地方。

　　病毒名称：Email-Worm.Win32.LovGate.ae（Kaspersky）

　　病毒大小：192000 bytes

　　加壳方式：多层ASPACK,JDPACK

　　样本MD5：42ab20ee5f4757a44edff753bc508840

　　样本SHA1：cc2df80aea902bec125601cd3202a3e5e9010613

　　编写语言：Microsoft Visual C++ 6.0

　　病毒类型：后门、蠕虫

　　传播方式：邮件、网络

　　行为分析：

　　病毒运行后，会释放自身拷贝和后门组件到：

　　%Windows%SVCHOST.EXE

　　%Windows%SYSTRA.EXE

　　%System32%HXDEF.EXE

　　%System32%IEXPLORE.EXE

　　%System32%KERNEL66.DLL

　　%System32%RAVMOND.EXE

　　%System32%TKBELLEXE.EXE

　　%System32%UPDATE_OB.EXE

　　%System32%LMMIB20.DLL

　　%System32%MSJDBC11.DLL

　　%System32%MSSIGN30.DLL

　　%System32%NETMEETING.EXE

　　%System32%ODBC16.DLL

　　%System32%SPOLLSV.EXE

　　病毒会在各分区根目录复制副本，创建autorun.inf:

　　AUTORUN.INF

　　COMMAND.EXE

　　AUTORUN.INF内容：

　　[AUTORUN]

　　Open="c:COMMAND.EXE" /StartExplorer

　　病毒创建启动项，以达到随机自启动的目的：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindows

　　NTCurrentVersionWindows]

　　run = "RAVMOND.exe"

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows