病毒全名: W32.HLLW.Lovgate.?@mm (?代表Lovgate的各个变种)
传播途径: 网络共享、邮件
最大特点:
1、以administrator用户名访问目标计算机的管理员共享(admin$), 并进行密码的枚举,空密码、1234、test等都是枚举的范围,如果成功破解密码,就进行感染行动。普通everyone完全控制的共享更是它优先照顾的对象。
2、防病毒软件无法彻底实时防护,即时防病毒软件正常运行,只要有传播途径,还是会被感染,而且它能使防病毒软件失效。
处理方法:
1、阻断传播途径:
A、更改管理员密码
B、关闭everyone完全控制的共享, 最彻底的方法是禁用文件与打印共享
C、关闭%SystemRoot%\Media共享,是病毒自己创建的共享
2、检查并关闭病毒进程
A、关闭所有exploier.exe进程
B、关闭所有iexplore.exe进程
C、关闭所有iexplorer.exe进程
这三个进程是感染lovgate明显的症状。
3、删除%SystemRoot%\system32\下的iexplore.exe与iexplorer.exe, 如果不能删除,将它们重命名, 待处理完重启后再删除。
4、删除相应的注册表项:
A、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" Program In Windows"="C:\\WINNT\\System32\\IEXPLORE.EXE"
"WinHelp"="C:\\WINNT\\System32\\TkBellExe.exe"
"Hardware Profile"="C:\\WINNT\\System32\\hxdef.exe"
"Microsoft Associates, Inc."="iexplorer.exe"
"Shell Extension"="C:\\WINNT\\System32\\spollsv.exe"
B、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices]
"SystemTra"="C:\\WINNT\\CdPlay.EXE"
"COM++ System"="Exploier.exe"
C、从注册表中删除恶意程序服务项目
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>Windows Management Instrumentation Driver Extension
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>NetMeeting Remote Desktop (RPC) Sharing HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Microsoft NetWork FireWall Services
4、下载专门的Lovgate病毒移除工具, 比如Symantec或瑞星的,清除系统中的病毒
5、重启计算机后,卸载旧的防病毒软件(感染lovgate后, 防病毒软件会被lovgate病毒破坏),重新安装防病毒软件,更新病毒定义文件。
附: 病毒枚举的密码列表: