病毒攻击愈演愈烈，警惕新病毒“爱之门”

作者：王韵壹、李英、熊慧卿

火热的情人节已经悄然离去，但各种披着爱情的美丽外衣的电脑病毒依然在网络上甚嚣尘上。日前一个名叫“爱之门”（ W32.HLLW. Lovegate）的病毒已经开始在国际互联网上开始迅速传播，它可以把受到感染的计算机中所有文件进行完全共享，并会制动通过被病毒感染的计算机进行传播，这足以给全球的计算机用户的信息安全带来空前的威胁。

该病毒在2月20日出现，报告显示目前在国内已经发现数十例用户电脑被感染。据率先发现该病毒的交大铭泰信息安全中心的负责人表示，“爱之门”是一种蠕虫病毒，感染长度为77,312字节，主要通过Outlook电子邮件和文件共享软件进行传播，速度相当快，可以感染Windows 9X, Windows Me Windows NT, Windows 2000, Windows XP系统。

病毒运行时会复制自己到系统目录%System%:文件名随机如下 WinRpcsrv.exe 、syshelp.exe 、winrpc.exe 、WinGate.exe 、rpcsrv.exe，并自动搜索本地文件目录，如果找到后缀名是.ht*的，就从这些文件中找到邮件地址，并发感染的邮件病毒。

如果是Windows 95, 98, or ME系统，病毒会在win.Ini文件的windows节中加上如下一行.run=rpcsrv.exe。病毒生成木马文件，并把木马文件复制到系统下。ily.dll ，task.dll ，reg.dll ，1.dll，并自动修改注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run键上，增加如下值syshelp、%system%\syshelp.exe WinGate initialize %system%\WinGate.exe –remoteshell、Module Call initialize

RUNDLL32.EXE reg.dll ondll_reg ，病毒还修改HKEY_CLASS_ROOT\txtfile\shellopen\command的缺省键值为winrpc.exe %1搜寻网络共享目录和子目录，监听10168端口，并提供个黑客一个带口令的命令执行程序。

如果病毒感染的是Windows NT, 2000, or XP系统，病毒会复制到%System%\ssrv.exe文件，并在HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install上添加键值。

在HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

键上，增加如下值run rpcsrv.exe。启动木马作为Windows Management Extension服务。遍历本地网络，试图用123 ，321 123456 、654321 、guest 、administrator 、admin 、111111 、666666 、888888 、abc 、abcdef 、abcdefg 、12345678 、abc123这些密码登陆其他地计算机。

魔高一尺，道高一丈。交大铭泰信息安全中心负责人表示，广大用户不必过于紧张。只要电脑安装了反病毒软件《东方卫士2003》，打开病毒防火墙即可防止病毒修改注册表的企图，无需升级就可以防住该病毒的威胁。如果要彻底查杀该病毒，可以登陆网站下载专杀工具对其进行完全清除。