|
 
|
ravmond - ravmond.exe - 进程信息
进程文件: ravmond 或者 ravmond.exe
进程名称: 瑞星杀毒软件
描述:
ravmond.exe是瑞星杀毒软件相关监控程序。注意:ravmond.exe也可能是lovegate.f木马相关程序。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
出品者: rising
属于: 瑞星杀毒软件
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
常见错误: 未知n/a
内存使用: 未知n/a
安全等级 (0-5): 4
间谍软件: 否
广告软件: 否
病毒: 是
木马: 否
ravmond - ravmond.exe - 进程信息进程文件: ravmond 或 ravmond.exe
进程位置: 系统
程序名称: worm_lovgate.ad
程序用途: 搜索系统邮箱,回复找到的电子邮件,并将病毒作为附件进行传播。
程序作者:
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: “爱之门”病毒变种。病毒会将大量可执行文件替换成病毒副本文件,并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。在%windows%文件夹下生成:svchost.exe和systra.exe。在%system%文件夹下生成:hxdef.exe、iexplore.exe、kernel66.dll、ravmond.exe、tkbellexe.exe和update_ob.exe。在c盘根目录下生成:autorun.inf和command.exe。
病毒在注册表中添加以下项目,使得自身能够作为服务运行:在hkey_local_machine\software\microsoft\windows\currentversion\runservices下添加systemtra="c:\windows\systra.exe"com++system="svchost.exe"
病毒在注册表中添加以下项目,使得自身能够随系统启动而自动运行,在hkey_current_user\software\microsoft\windowsnt\currentversion\windows下添加run="ravmond.exe"winhelp="c:\windows\system32\tkbellexe.exe"hardwareprofile="c:\windows\system32\hxdef.exe"vfwencoder/decodersettings="rundll32.exemssign30.dllondll_reg"microsoftnetmeetingassociates,inc.="netmeeting.exe"programinwindows="c:\windows\system32\iexplore.exe"shellextension="c:\windows\system32\spollsv.exe"protectedstorage="rundll32.exemssign30.dllondll_reg"
病毒修改以下注册表项目,这样一来,用户在运行.txt文本文件的时候,实际上就是在运行病毒拷贝:hkey_classes_root\txtfile\shell\open\commanddefault="update_ob.exe%1"(原始数值为%systemroot%\system32\notepad.exe%1)hkey_local_machine\software\classes\txtfile\shell\open\commanddefault="update_ob.exe%1"(原始数值为%systemroot%\system32\notepad.exe%1)。
病毒修改文件autorun.inf[autorun]open="c:\command.exe"/startexplorer
"爱之门"病毒变种(worm_lovgate.ad)
近期,又出现了“爱之门”病毒的新变种,病毒运行后常驻内存,并在windows文件夹、系统文件夹和c盘根目录下生成多个自身拷贝。同时对注册表进行多处改动,修改.txt(文本文件)的关联,使得用户在运行.txt的时候,实际上是在运行病毒。病毒可通过电子邮件进行传播,有可能以回复正常邮件的形式到达,病毒还有可能将发信人的地址伪装成hotmail、msn、yahoo、aol等大公司的邮件地址。另外病毒可通过网络共享进行传播。
另外,“贝革热”病毒在沉寂数日后,也出现了新的变种,提醒用户对电子邮件的处理一定要谨慎,不确定的附件应先对其进行检测,确定无毒后方可运行,同时要及时的升级杀毒软件,并启动“实时监控”和“邮件监控”功能。
病毒名称:"爱之门"病毒变种(worm_lovgate.ad)
病毒种类:蠕虫
感染系统:windows 95/98/me/nt/2000/xp
病毒长度:152,064字节
病毒特性:
1、 生成病毒文件
病毒会将大量可执行文件替换成病毒副本文件,并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。
在%windows%文件夹下生成:svchost.exe和systra.exe。
在%system%文件夹下生成:hxdef.exe、iexplore.exe、kernel66.dll、ravmond.exe、tkbellexe.exe和update_ob.exe。
在c盘根目录下生成:autorun.inf和command.exe。
2、 修改注册表
病毒在注册表中添加以下项目,使得自身能够作为服务运行:
在hkey_local_machine\software\microsoft\windows\currentversion
\runservices下添加systemtra = "c:\windows\systra.exe"
com++ system = "svchost.exe"
病毒在注册表中添加以下项目,使得自身能够随系统启动而自动运行,
在hkey_current_user\software\microsoft\windows nt\currentversion\windows下添加run = "ravmond.exe"
winhelp = "c:\windows\system32\tkbellexe.exe"
hardware profile = "c:\windows\system32\hxdef.exe"
vfw encoder/decoder settings = "rundll32.exe mssign30.dll ondll_reg"
microsoft netmeeting associates, inc. = "netmeeting.exe
program in windows = "c:\windows\system32\iexplore.exe"
shell extension = "c:\windows\system32\spollsv.exe"
protected storage = "rundll32.exe mssign30.dll ondll_reg"
病毒修改以下注册表项目,这样一来,用户在运行.txt文本文件的时候,实际上就是在运行病毒拷贝:
hkey_classes_root\txtfile\shell\open\command
default = "update_ob.exe %1"(原始数值为%systemroot%\system32\notepad.exe %1)
hkey_local_machine\software\classes\txtfile\shell\open\command
default = "update_ob.exe %1"(原始数值为%systemroot%\system32\notepad.exe %1)
3、 修改文件
病毒修改文件autorun.inf
[autorun]open="c:\command.exe" /startexplorer
4、 通过电子邮件进行传播
(1)病毒搜索系统邮箱,回复找到的电子邮件,并将病毒作为附件进行传播。
标题:re: <邮件原始主题>
附件:存在多种形式,扩展名为.exe、.pif、.scrsong.mp3.pif
(2)病毒从下列扩展名的文件中搜索邮件地址:adb、asp、dbx、htm、php、pl、sht、tbb、txt、wab,并向这些地址发送带毒的电子邮件。
病毒邮件特征如下:
发件人:
%病毒体内选取的特定字符%.aol.com
%病毒体内选取的特定字符%.hotmail.com
%病毒体内选取的特定字符%.msn.com
%病毒体内选取的特定字符%.yahoo.com
标题:<为下列之一>
hi
hello
mail delivery system
mail transaction failed
内容:<可变>
附件:
文件名为body、data、doc、document、file、message、readme、test、text或zge,扩展名为bat、exe、pif、scr或zip。
病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件,这些字符串多与反病毒以及计算机安全相关。
5、 通过网络传播
病毒会在windows文件夹下创建一个名为“media”的共享文件夹,并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机,尝试通过密码探测进入 “admin$”共享进行传播,一旦登录成功,病毒会在远程计算机的“admin$\system32”文件夹中生成自身拷贝,名称为“netmanager.exe”。
本周发作:
病毒名称:"自毁者"(w97m_autodest)
病毒类型:宏病毒
发作日期:7月13日
危害程度:病毒感染word的通用模板文挡normal.dot,7月13日会显示一个倒计时的状态条,并在此之后对c盘进行格式化。
病毒名称:"小花帽"(pe_mincer.a)
病毒类型:文件型病毒
发作日期:7月15日
危害程度:病毒感染可执行文件(*.exe),在7月15日,病毒运行后会弹出写有一段中文的对话框,象某人祝贺生日和表达爱慕之情,并会大量删除系统中的文件,导致系统无法正常运行。
专家提醒:
很多病毒运行后都会对文件的关联进行修改,如果修改了可执行文件的关联,即.exe后缀的文件的关联,那么在用户运行这些文件的时候实际上就运行了病毒。那么,在对注册表进行恢复的时候就会出现这样的问题,因为注册表文件regedit.exe同样也是.exe后缀的文件,在系统受到病毒感染后,注册表文件也受到感染,无法运行。一般我们可以通过以下操作打开注册表,并进行相关的恢复。
1、 点击"开始-〉运行"
2、 输入命令"command /c copy %windows%\regedit.exe regedit.com | regedit.com" (其中%windows%指的是系统安装目录,默认是"c:\windows"或"c:\winnt")
3、 打开注册表,并恢复相关的内容,并关闭注册表
4、 点击"开始-〉运行",输入命令"command /c del %windows%\regedit.com"
瑞星论坛斑竹的通用回答:
1.ravmond是正常的瑞星进程。其它的进程依据你所安装的是单机版或网络版及开启的功能不同,所启动的进程略有不同,一般还有ravmon,ravservice,ravtimer,rsagent等。
ravmond.exe是针对多用户操作系统的(win2000、nt)监控,98系统下无此进程。
2.开始->运行->msconfig->启动,关闭不必要的启动项,重启。
方法:点击 开始-运行,输入“msconfig”,然后在打开的窗口中选择“服务”,点击“隐藏所有microsoft服务”,在下拉菜单中就可以看到厂商为rising的服务项,而且打了勾的。把含有ravmond.exe的项去掉勾即可。按照以上方法设置完成,注销后重新进入系统就可以删除那两个运行程序了。 |
|
鲁公网安备 37120302000001号
