2004年3月11日江民快速反病毒小组率先截获“超级密码杀手”最新变种I-Worm/Supkp.l(也称LovaGate、爱情后门等)。该蠕虫变种增加了很多新的传染办法,可以利用QQ聊天软件、网络共享、和电子邮件传播,还企图暴力破解网络邻居计算机,直接感染,还在感染计算机上开设共享服务,修改文件关联,将自身模块添加为服务程序,为本地磁盘加自动播放功能等,是典型的复合型病毒。
具体技术特征如下:
·病毒大小为124928字节,病毒代码中带有“QQ_ILoveU”字样。
·结束多种国内外杀毒软件和防火墙进程。
·复制自身多份拷贝到%SystemDir%,并释放多个.dll文件,见下图:
·开设“NetMeeting Remote Desktop (RPC) Sharing”共享服务,共享%Windows%\Temp目录,共享名称为“GAME”,并拷贝自身多份到该目录中
·加入注册表启动项,把自身复制到启动文件夹中,并把.exe关联到病毒程序上。这样病毒在系统启动或者运行任何.exe程序时都会运行。
·遍历网络共享资源,试图将自身通过网络共享传播,并且用自带的密码字典暴力破解网络邻居的密码,一旦成功,立即感染。
·建立名为ll_reg的系统服务程序,如下图。
·启动自保护线程,每隔1秒检查注册表及其各拷贝状态,一旦发现病毒注册表项被改写,或自身拷贝被删除,立刻回写恢复。
·在所有本地磁盘根目录复制自身为Sysboot.exe,并在根目录创建autorun.inf文件,Autorun.inf内容指向病毒程序sysboot.exe,如c:\autorun.inf内容是:
[AUTORUN]
Open="C:\SysBoot.EXE" /StartExplorer
这样一旦磁盘驱动器被双击,病毒立刻得以运行。
·通过QQ发送带有病毒连接的信息,消息可能包含下列内容:
“你那瓜子形的形,那么白净,弯弯的一双眉毛,那么修长;水汪汪的一对眼睛,那么明亮
你是花丛中的蝴蝶,是百合花中的蓓蕾。无论什么衣服穿到你的身上,总是那么端庄、好看。
在风吹干你的散发时,我简直着魔了:在闪闪发光的披肩柔发中,在淡淡入鬓的蛾眉问,在碧水漓漓的眼睛里……你竟是如此美丽可人
你是一尊象牙雕刻的女神,大方、端庄、温柔、姻静,无一不使男人深深崇拜。
你其有点像天上的月亮,也像那闪烁的星星,可惜我不是诗人,否则,当写一万首诗来形容你的美丽。
春花秋月,是诗人们歌颂的情景,可是我对于它,却感到十分平凡。只有你嵌着梨涡的笑容,才是我眼中最美的偶象。
你笑起来的样子最为动人,两片薄薄的嘴唇在笑,长长的眼睛在笑,腮上两个陷得很举动的酒窝也在笑.
你蹦蹦跳跳地走进来,一件红尼大衣,紧束着腰带,显得那么轻盈,那么矫健,简直就像天边飘来一朵红云。
远远地,我目送你的背影,你那用一束大红色绸带扎在脑后的黑发,宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。
其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份美感、那份妩媚,使我久久难以忘怀
你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。留给我印象最深的是你那双湖水般清澈的眸子,
以及长长的、一闪一闪的睫毛。像是探询,像是关切,像是问候。”
病毒连接可能为:
c:\666666.exe
c:\mp3.exe
c:\update.exe
c:\my_photo.exe
c:\game.exe
c:\pass.exe
c:\123456.exe
c:\flash.com
c:\hello.exe
c:\setup.exe
c:\QQ_joke.exe
·通过自动回复Outlook信件传播,信件特征为:
内容包含下列文字:
“ If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.”
附件为病毒程序,是下列名称之一:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe
如:
通过其SMTP引擎发送电子邮件传播,信件特征为:
主题可能为:
Hi
Hi Dear
Attached one Gift for u…
Help
Great
For you
Last update
Let’s Laugh
Reply to this!
内容可能为:
For further assistance, please contact!
Copy of your message, including all the headers is attached
This is the last cumulative update.
Tiger Woods had two eagles Friday during his victory over Stephen Leaney.
(AP Photo/Denis Poroy)
Send reply if you want to be official beta tester.
This message was created automatically by mail delivery software (Exim).
Adult content!!! Use with parental advisory.
Patrick Ewing will give Knick fans something to cheer about Friday night
Send me your comments...
It's the long-awaited film version of the Broadway hit. Set in the roaring 20’s…
附件为病毒程序,可能的名字是:
images.pif
README.TXT.pif
Interesting.exe
Source.exe
You_are_FAT!.TXT.pif
Enjoy.exe
Doom3 Preview!!!.exe
Driver.exe
About_me.txt.pif
·关机时可能出现下面的对话框:
针对该病毒,各大杀毒公司已经在第一时间紧急升级了病毒库。请立即升级到最新的病毒库,即可全面查杀该恶性蠕虫病毒,保护您的系统不被其侵害。
减小字体
增大字体