"爱情后门(Worm.Lovgate)"病毒及四个变种(Worm.Lovgate.a/b/c/d/e)，目前最新变种为:Worm.Lovgate.h。该病毒集蠕虫、后门、黑客三种攻击手段于一身，极有可能在未来一段操假生模季时间大规模泛滥。爱情后门病毒自生之日起，已经产生了了8个版本，而爱情后门的一个变种:Worm.lov来自gate.h是最新总异属突脸的围帝的一个变种，而且也极难清除，

• 中文名称 爱情后门病毒
• 警惕程度: ★★★★★
• 瑞星版本号:  15.23
• 感染对象: 硬盘文件夹

爱情后门病毒

　　爱情不能假设，也没有如果，但如果爱情被开了一个后门，是不是爱情将不再来自是爱情?

　　爱情后门病毒自倒住听型革稳钟察还生之日起，已经产生了了8个版本，而爱情后门的一个变种:Worm.是甚lovgate.h是最新的一个变种，而且也极难清除，下面我们了解一下该病毒吧。

　　发作时间:随机

　　病毒类型:蠕虫病毒

　　传播方式:网络/邮件

　　运行环境: WINDOWS 95/98/ME/NT/2000/XP/Vista/7(不一定)

病毒介绍

　　一个集蠕虫后门黑客于一身的病毒。当病毒运行时，将自己复制到windows目录下，文件名为:WinRpc积研srv.exe并注册成系统服务。然后把自己分别复制到system目录下，文件名为syshelp.exe，WinGate.exe并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSA360百科SS进程，并对其殖入远程后门代讨台胜营益精图手毛势目码。(该代码，将响应用户tcp请求建方一个远程shell进程。win9x为command. com，NT,WIN2K,WINXP为cmd.exe)之后病毒将自身复制到岩妈航伤windows目录并尝试在win.ini中加入run=rpcsrv.exe。并进入传播流程。

传播途径

　　该病毒通过病毒邮件进行传播，一旦感染计算机后，就会建立一个"后门"，并与外界的操纵者取得联系，使得被感染机器处于外界的远程控制之中。外界操纵者可以轻易地向本机传送盗窃程序，获得该计算机来自的密码等资料。对于局域网用户来说，病毒通过一台被感染的计算机迅速传播到360百科整个局域网，最终导致所有计算机用户被外界操纵者控制、网络瘫规初今斗阳置井械陆盟痪、信息泄露等严重后果。如果外界操纵者带有商业或政治等目的，那么使用这个病毒，将使政府机关和各商业机构的信息系统完全被控制、全部泄漏。 从上述分析器染报类第中我们可以看出，这个病毒对回广尔球井孩响企事业单位的局域网用户危害性极大。瑞星反你书另病毒工程师提醒大家，普通的单机版杀毒软件很难彻底查杀局域网内的病毒，特别是对"爱情气孙类己越鸡父若打后门"病毒群来说，最好使用错网络版杀毒软件，才能充分钱处架推全利天保证局域网不被攻击。

病毒功能

　　1. 释放出5个病毒体，修改注册表自启动

　　病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒体分别感染系统，并修改相应的注册表和启动文件(w计损概线完异类收仍查in.ini)进行自启动。

　　2. 密码试探攻击，盗用密码

　　病毒会利用ipc$命名管道调十进行guest和Adminis束引啊略苗项延较升策若trator账号的简单密码试探，如果成功将自己复制到对方的sytem32目录中，命名为:stg.exe，并注册成Window Remote Service服务,同时放出一个名为win32vxd.流帮衣出路毫此师问程dll的盗密码文件，以盗取用户密码。

　　3. 建立和释放后门，威胁计算机安全

　　病毒会建立一个后门，等待外界用户脸视只肉村商业四连入，然后从病毒体内放出一个dll后门程序负责建立远程shell后门。

　　4. 疯狂局域网传播

　　病毒不停地搜索网络资源，导致整个局域网资源被占用，如果发现哥粉宗占杨有共享目录，则将自身复制细结必什掌级路过去，病毒文件名有装边价律满检谁作永以下几种可能:

　　5. 搜索邮件目录，不断发送病毒邮件。

　　病毒会启动一个线程，通过注册表SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders的表项得到系统目录，然后搜索*.ht*中的email地址，找到后，病毒就利用MAPI功能，向外不断发送病毒邮件，邮件标题随机从以下字符串中选出:

　　6. 病毒会每隔1小时通知病毒作者。

　　病毒运行后，会每隔1小时发送一次通知邮件到163. com的一个信箱，邮件的标题为:xyz123xyz123，内容为中毒系统的ip地址，当病毒作者收到病毒通知信件后，就可以利用病毒开的后门对用户计算机进行远程控制，为所欲为。

爱情后门II

基本信息

　　警惕程度:★★★★

　　发作时间:随机

　　病毒类型:蠕虫病毒

　　传播方式:网络/邮件

　　运行环境: WINDOWS 95/98/ME/NT/2000/XP)/vista

　　感染对象:硬盘文件夹

　　病毒介绍:

　　当病毒运行时，将自己复制到windows目录下自己分别复制到system目录下，文件名为

　　并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程，并对其殖入远程后门代码。

　　(该代码，将响应用户tcp请求建方一个远程shell进程。win9x为command. com，NT,WIN2K,WINXP

　　为cmd.exe)之后病毒将自身复制到windows目录并尝试在win.ini中加入run=RAVMOND.EXE。

　　并进入传播流程。

病毒的几个功能

　　1.密码试探攻击:

　　病毒利用ipc进行guest和Administrator账号的多个简单密码试探。(使用如12345678，abcdef，888888)

　　如果成功病毒将尝试将自己复制到远程系统并试图注册成服务。

　　2.放出后门程序:

　　病毒从自身体内放出一个dll文件负责建立远程shell后门。(端口1092)

　　病毒本身将自己注入到lsass进程中，并建立20168端口的shell后门

　　3.盗用密码:

　　盗取用户密码,并发送到指个信箱

　　4.局域网传播:

　　病毒穷举网络资源，并将自己复制过去。文件名为随机的选取，病毒体内的文件名有以下几种可能:

　　5.邮件地址搜索线程

　　病毒启动一个线程通过注册表

　　Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders得到系统目录

　　并搜索*.ht*中的email地址。用以进行邮件传播。

　　6.发邮件

　　病毒利用mapi及搜出的email地址，进行邮件传播。

　　邮件标题随机从病毒体内选出

　　7.邮件通知病毒作者

　　当病毒被运行后每一段间隔发送一次通知邮件给

　　位于163. com的一个信箱。邮件的标题是xyz123xyz123

　　内容为中毒系统的ip地址，以便利用病毒的后门

　　进行控制。

解决方案

　　安装有瑞星杀毒软件的用户请升级到最新版本，15.27.01以后版本都可查杀该病毒;

爱情后门变种T(Worm.LovGate.T)

基本信息

　　警惕程度:★★★★

　　发作时间:随机

　　病毒类型:蠕虫病毒

　　传播途径:局域网/邮件/后门/系统文件

　　依赖系统:WINDOWS 9X/NT/2000/XP

病毒介绍

　　2003年11月17日，瑞星全球反病毒监测网在全球率先截获"爱情后门"病毒的最新变种-"爱情后门变种T(Worm.LovGate.T)"，该病毒除了具有蠕虫、黑客、后门等病毒特性外，还增加了感染系统文件、盗窃密码两大全新功能，具有更大的危险性。当时国内外大部分反病毒软件还无法将该病毒变种查出，因此瑞星反病毒工程师提醒广大电脑用户更要小心提防该病毒。

　　"爱情后门变种T"病毒会搜索系统中的所有可执行文件，在尾部加入一个远程窃取信息的病毒模块，只要被感染的文件运行，就会激活该病毒模块，然后搜索包含如下字眼的窗口:"登录"、"注册"、"密码"、"口令"、"账号"、"pass"，偷盗这些窗口中的密码信息，并存于syszsl.dll文件之中，通过网络泄露出去。

　　病毒运行时还会将自己复制到系统目录下，通过修改注册表和WIN.INI文件两种方式进行自启动，大大增强了病毒运行的可能性，病毒被激活时会通过猜密码的方式来破译局域网计算机的管理员密码，取得最高权限，成功后便能控制该计算机，如果不能成功，病毒还会将自己拷贝到局域网计算机的共享目录下，来诱使局域网中的其它计算机用户运行该病毒。

　　病毒运行时还会给系统开后门，并且每隔一小时就会向病毒作者发送一封记录被感染计算机IP信息的信件，使病毒作者能控制用户计算机。该病毒还会搜索用户的E-MAIL地址，然后通过发送大量病毒邮件来进行网络传播，并极有可能会阻塞网络。

病毒的特性、发现与清除

　　1. 感染系统中的所有可执行文件，在这些文件尾部加入一个通过远程窃取信息的模块，该病毒模块的作用是搜索包含如下字眼的窗口:"登录"、"注册"、"密码"、"口令"、"账号"、"pass"，偷盗这些窗口中的密码信息，并存于syszsl.dll文件之中。

　　2. 病毒会释放出WinRpcsrv.exe、Syshelp.exe、Winrpc.exe、WinGate.exe、Rpcsrv.exe五个病毒, 用户可以在计算机中查找该病毒文件，找到后删除。

　　3. 当用户系统为9X系统时，病毒会修改启动文件win.ini，在其中加入run=rpcsrv.exe项， 用户可以用记事本程序将该文件打开，将这一病毒项删除。

　　4. 病毒会利用远程连接指令对局域网中的有guest和Administrator账号的计算机进行简单密码试探，如果成功将自己复制到对方的sytem32目录中，命名为:stg.exe，并注册成Window Remote Service服务来感染对方计算机，同时放出一个名为win32vxd.dll的盗密码文件，以盗取用户密码。。

　　5. 病毒不停地搜索网络资源，导致整个局域网资源被占用，如果发现有共享目录，则将自身复制过去，病毒文件名有以下几种可能:

　　局域网的用户如果在共享目录中发现有这些文件，请直接删除。

　　6. 病毒会使用10168端口在系统中建立一个后门，等待外界用户连入，对用户计算机进行远程控制。

　　7. 病毒运行时会通过注册表来搜索电脑中的email地址，然后向这些地址发送大量的带毒邮件来阻塞网络。

　　邮件标题随机从以下字符串中选出:

　　当用户发现有这样标题的信件时，不要随便观看这些邮件，最好直接将这些邮件删除，以防止病毒运行。

　　8. 病毒运行后，会每隔1小时发送一次通知邮件到病毒作者的一个信箱，邮件的标题为:xyz123xyz123，内容为中毒系统的IP地址信息，当病毒作者收到病毒通知信件后，就可以利用病毒开的后门对用户计算机进行远程控制，为所欲为。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了"爱情后门变种T(Worm.LovGate.T)"病毒，为避免用户遭受损失，瑞星公司已于截获该病毒当天就进行了升级，瑞星杀毒软件2004版、瑞星在线杀毒、瑞星杀毒软件2004"下载版"，这三款产品每周三次同步升级，16.01版已可清除此病毒。

反病毒专家的安全建议

　　1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

　　2. 关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

　　3. 经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防患未然。

　　4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

　　5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报， 这样才能真正保障计算机的安全。

爱情后门变种V(Worm.LovGate.v)

　　该病毒是蠕虫病毒"爱情后门"的新变种,是一个集蠕虫、后门一身的病毒，采用VC 编写，多层压缩。

　　发现日期:3月11日

病毒评估

　　病毒中文名:爱情后门变种V

　　病毒英文名:Worm.LovGate.v.

　　病毒大小:124,928 字节

　　病毒类型:蠕虫病毒

　　病毒危险等级:★★★★

　　病毒传播途径:网络/邮件

　　病毒依赖系统:WINDOWS9X/NT/2000/XP

病毒的破坏

　　1.释放后门病毒

　　病毒将在系统中殖入远程后门代码，该代码，将响应远程恶意用户tcp请求建方一个远程shell进程。(win9x为command. com，NT,WIN2K,WINXP为cmd.exe)，可以对本地机器进行完全控制。

　　2. 释放通过QQ传播的病毒:"Worm.LovGate.v.QQ"

　　该病毒通过发送诱惑信息导致用户上当，从而中毒，详情请参考该病毒报告。

病毒报告

　　该病毒是蠕虫病毒"爱情后门"的新变种,是一个集蠕虫、后门一身的病毒，采用VC 编写，多层压缩。

　　一旦运行，病毒将执行以下操作:

　　1.自我复制到系统目录，相关文件名为:

　　同时也在每一个硬盘和可移动驱动器根目录下复制自己:

　　%DRIVER%\SysBoot.exe

　　2.病毒将释放一个DLL文件，此文件将在系统中殖入远程后门代码，相关文件名为:

　　%SYSDIR%\reg678.dll

　　%SYSDIR%\Task688.dll

　　该代码，将响应远程恶意用户tcp请求建方一个远程shell进程。(win9x为command. com，NT,WIN2K,WINXP为cmd.exe)，可以对本地机器进行完全控制。

　　3.病毒将释放一个利用QQ发送消息传播的病毒:"Worm.LovGate.v.QQ"，相关文件名目录为:

　　%SYSDIR%internet.exe

　　%SYSDIR%svch0st.exe

　　详细报告请查阅该病毒报告。

　　4.病毒将修改注册表的如下键值:

　　在win9x下还修改系统文件:

　　WIN.INI

　　[WINDOWS]

　　"RUN" = "RAVMOND.EXE"

　　在win2k、NT、XP下注册服务:

　　病毒也将在每一个硬盘和可移动盘的根目录下建立一个文件:AUTORUN.INF的文件，内容为:

　　[AUTORUN]

　　Open="%DRIVER%:\SysBoot.EXE" /StartExplorer

　　其中%DRIVER%为相应的驱动器。

　　这样在用户打开该驱动器后将运行病毒。

　　5.病毒的破坏功能

　　Windows弱口令密码试探攻击、放出后门程序、盗取密码。

　　6.局域网传播

　　病毒穷举网络资源，并将自己复制过去，文件名为随机的选取。

　　7.邮件传播

　　病毒利用mapi及搜出的email地址，对收信箱里的邮件进行回复(传播)。

　　邮件标题随机从病毒体内选出， 当病毒被运行后每隔一定时间发送一次通知邮件给位于163. com的一个信箱,邮件内容为中毒系统的ip地址，以便利用病毒的后门进行控制。

病毒解决方案

　　1.进行升级

　　瑞星公司于2004年3月12日当天进行升级，升级后的软件版本号为16.17.20，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站下载升级包进行升级，或者使用瑞星杀毒软件的"智能升级"功能。

　　2.使用专杀工具

　　鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，并进行该病毒的清除。

　　3.使用在线杀毒和下载版

　　用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，来使用在线杀毒产品。

　　4.打电话求救

　　如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话来寻求反病毒专家的帮助!

　　5.手动清除

　　该病毒手工清除比较困难，建议使用杀毒软件或专杀工具。

安全建议

　　1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

　　2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

　　3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

　　4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

　　5.迅速隔离受感染的计算机。当计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报，这样才能真正保障计算机的安全。

病毒专杀工具介绍

　　爱情后门病毒专杀工具 v3.5

　　爱情后门专杀

　　软件大小:107 KB

　　授权方式:免费版

　　软件类别:病毒防治

　　软件语言:简体中文

　　运行环境:免费版

　　软件更新:2006-03-21 06:44:03

　　爱情后门病毒专杀工具 v3.5介绍: 新版增加了新的Worm.lovgate病毒变种:Worm.lovgate.fa，Worm.lovgate.s 该病毒集蠕虫、后门、黑客于一身，通过病毒邮件进行邮件传播，通过建立后门给用户的计算机建立一个泄密通道，通过放出后门程序与外界远程木马沟通，通过放出盗窃密码程序主动盗窃计算机密码，通过远程疯狂传播局域网，最终导致所有计算机用户受到病毒控制，网络瘫痪、信息泄露等严重后果。