|
LoveGate 駭蟲再變種,感染系統中的 *.exe 檔案
具有大量發送信件、共享目錄入侵與後門功能
ZLOCK 的【先知防禦技術 -- 自體排毒功能】可以在不更新病毒碼情形下攔截駭蟲入侵
Lovegate 在2月時開始流行,至今已演變了多代變種,其流行能力不減於 Klez 病毒,此駭蟲手法為大量發駭蟲信件,將駭蟲檔案複製到區域網路中的共享目錄,甚至能猜測系統登入密碼再將駭蟲檔案遠端植入,其使用多種感染方法,因此 Lovegate 駭蟲至今仍舊流竄於網路中。
目前 Lovegate 駭蟲又再度變種,此代變種更加入了感染 *.exe 檔案的手法。
金帥資訊提醒使用者勿隨意執行信件中的 *.exe, *.pif, *.scr 附加檔案,
若您的系統登入帳號是 Administrator,則建議您修改密碼,而駭蟲所利用的密碼字典請參考下面的駭蟲行為,可與您的登入密碼做比對。
Lovegate.I 駭蟲信件:
主旨:隨機的英文主旨
內文:假借為對方的回覆信件,在信件後面會有下列字串:
If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.
附加檔案:隨機名稱的 *.exe, *.pif, *.scr檔案。
Lovegate.I 駭蟲行為:
1.大量發送駭蟲信件。
2.將病毒本身複製到 System 目錄下,檔案為 iexplore.exe, Kernel66.dll、Ravmond.exe 、WinGate.exe、WinDriver.exe , Winrpc.exe, Winhelp.exe , winexe.exe 。
3.在 System 目錄產生後門檔案,檔案為 ily668.dll , Task688.dll, Reg678.dll , Win32vxd.dll。
4.在 Windows 目錄下產生 Drwtsn16.exe 檔案,利用此檔案來感染中毒本機以及共享目錄中的.exe 檔案。
5.修改註冊值,使開機時即啟動病毒。
6.修改 EXE 檔的控制權,使執行 EXE 檔案時,先執行到駭蟲程式。
7.修改 TXT 檔的控制權,使執行 TXT 檔案時,先執行到駭蟲程式。
8.若偵測到網路上有共享目錄,則會將病毒檔案複製到這些目錄中。
9.具有密碼字典,使能破解系統登入密碼,進而將駭蟲檔案 Netservices.exe 遠端植入NT系統中的System32目錄中,因此若不修改密碼,則會有駭蟲檔案重複被植入的狀況。
10.Lovegate駭蟲的密碼字典如下:
000000
00000000
007
110
111
111111
11111111
123
123123
121212
1234
12345
123456
1234567
12345678
123456789
2002
2003
2600
321
54321
654321
666666
888888
88888888
123abc
123asd
abc
admin
administrator
abc123
abcdefg
abcdef
aaa
abcd
Admin
admin123
alpha
asdfgh
asdf
computer
database
enable
god
godblessyou
guest
home
Internet
love
login
Login
mypc
mypc123
mypass
mypass123
owner
oracle
pass
passwd
password
pwd
pw123
Password
root
sex
secret
server
sql
super
sybase
temp
temp123
test
test123
win
xxx
yxcv
zxcv
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
|
