截止到今天早晨，国内北京、深圳、上海等地都有用户遭受该病毒的感染，被感染用户在100例左右。

该病毒兼有蠕虫和黑客的功能，并能够通过局域网进行传播，局域网中一旦一台计算机被感染，病毒就会扩散到整个局域网，从而导致网内所有计算机均处于被控的危险状态，系统安全和信息安全收到极大的威胁。也就是说该病毒危害最严重的将会是政府部门和企事业单位的局域网。值得注意的是，由于病毒可以通过对Microsoft Outlook和Outlook Express中收到的邮件进行回复的形式向外发送病毒邮件，与以往的病毒邮件相比，更具欺骗性和迷惑性。

有关病毒的技术分析报告如下。 

一、 感染系统

Windows 95/98/Me/NT/2000/XP 

二、 技术特点

病毒名称：“爱之门”（Worm_Lovgate.C）

病毒类型：蠕虫

病毒长度：78848

病毒特征：

该病毒兼有蠕虫和黑客的功能。作为蠕虫，它能够通过电子邮件进行传播，并通过共享文件夹在局域网内传播；作为后门程序，它允许远程用户通过10168端口对被感染用户的计算机进行访问和操作。病毒的主要特征如下：

1、 释放病毒程序

病毒运行后将自身拷贝到windows的系统文件夹下，文件名可能为下列任意一个：rpcsrv.exe 、syshelp.exe 、WinGate.exe 、winrpc.exe 、WinRpcsrv.exe。

在windows NT/2000/XP上，病毒会生成下列文件之一：1.dll 、ily.dll 、reg.dll 、task.dll。

2、 修改注册表

病毒对注册表进行修改，使得在下次系统启动时，病毒可随之自动运行

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

Runsyshelp = "%System%\syshelp.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunWinGate

initialize = "%System%\WinGate.exe -remoteshell"

病毒修改注册表，使得在此之后，用户打开.txt文件时，病毒也随之运行HKEY_CLASSES_ROOT\txtfile\shell\open\command

Default = "winrpc.exe %1"

3、 修改win.ini文件

病毒还对win.ini文件进行修改，将“run=” 修改为“run=rpcsvr.exe”

4、 密码试探

    病毒会使用一些简单的密码尝试对Administrator账号进行连接。（密码分别为123、111111、123456、12345678、321 、654321、666666、888888、abc、abc123、abcdef、abcdefg、admin、administrator、guest）。如果连接成功，病毒将自身将自己复制到系统的\admin\system32\下，命名为stg.exe，并注册成服务“Window Remote Service”。

5、 通过局域网进行传播

通过局域网传播时，病毒生成自身的拷贝到局域网的共享文件夹下，名称可能为下列任意一个：illgt.exe、card.exe 、docs.exe 、fun.exe 、hamster.exe 、humor.exe 、images.exe 、joke.exe 、midsong.exe 、news_doc.exe 、pics.exe 、PsPGame.exe 、s3msong.exe 、searchURL.exe 、setup.exe 、tamagotxi.exe 。

6、 通过邮件进行传播

病毒使用自带的SMTP（简单邮件传输协议）和MAPI（邮件应用程序接口），向外发送染毒邮件，其形式是对Microsoft Outlook和Outlook Express中收到的邮件进行回复，与以往的病毒邮件相比，更具欺骗性和迷惑性。

病毒还从.HT*文件中搜索邮件地址，并向这些地址发送染毒邮件。邮件格式为下列之一：

主题：Documents

附件：Docs.exe

内容：Send me your comments... 

主题：Roms

附件：Roms.exe

内容：Test this ROM! IT ROCKS!. 

主题：Pr0n!

附件：Sex.exe

内容：Adult content!!! Use with parental advisory. 

主题：Evaluation copy

附件：Setup.exe

内容：Test it 30 days for free. 

主题：Help

附件：Source.exe

内容：I'm going crazy... please try to find the bug! 

主题：Beta

附件：_SetupB.exe

内容：Send reply if you want to be official beta tester. 

主题：Do not release

附件：Pack.exe

内容：This is the pack ;) 

主题：Last Update

附件：LUPdate.exe

内容：This is the last cumulative update. 

主题：The patch

附件：Patch.exe

内容：I think all will work fine. 

主题：Cracks!

附件：CrkList.exe

内容：Check our list and mail your requests!

7、通过“后门” 窃取信息

病毒运行后会在系统上开一个“后门”，通过打开10168端口对被感染用户进行连接和操作，远程用户可以通过该端口在被感染计算机上执行程序，获取信息，对运行的后门程序进行配置。这样一来，远端用户就能够轻易得到被感染计算机的各种信息，被感染用户的系统安全收到了严重的威胁。 

三、 解决方案

清除改病毒的一些相关操作：

1、终止病毒进程

在Windows 95/98/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器——〉进程”，选中正在运行的进程病毒程序，并终止其运行，然后关闭“任务管理器”。

2、注册表的恢复

点击“开始——〉运行”，输入regedit,运行注册表编辑器

（1）依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除右侧面板中的下列内容

syshelp = "%System%\syshelp.exe"

WinGate initialize = "%System%\WinGate.exe -remoteshell"

Module Call initialize = "RUNDLL32.EXE reg.dll ondll_reg"

（其中%system%在Windows95/98/Me系统中为C:\Windows\System，在Windows NT/2000中为C:\WINNT\System32，在Windows XP中为C:\W Windows \System32）

（2）依次双击左侧的HKEY_CLASSES_ROOT>txtfile>shell>open>command，选中右侧面板中的 “default（默认）”，如果其键值为"winrpc.exe %1"，将其修改为%System%\NOTEPAD.EXE %1。修改完毕后关闭注册表编辑器

3、win.ini文件的修改和恢复

点击“开始——〉运行”，输入win.ini，点击“确定”。在[windows]部分中，将Run=rpcsvr.exe中“=”右侧的部分“rpcsvr.exe”删除，保存并关闭win.ini。

4、完成上述工作后重新启动计算机，对系统进行全面的病毒检测和清除。 

    目前，国家计算机病毒应急处理中心已经接到赛门铁克公司、冠群金辰公司、瑞星公司、江民公司、韩国安博士公司的报告。并通知各防病毒公司做好病毒的进一步监测工作，随时上报病毒动态信息。同时，国家计算机病毒应急处理中心再次提醒广大计算机用户及时升级杀毒软件并启动实时监控功能，关闭不必要的端口，以提高系统的安全性和可靠性，同时留意病毒邮件特征并谨慎收取电子邮件，可疑邮件及时删除。

 国家计算机病毒应急处理中心
 计算机病毒防治产品检验中心
 网    址：Http://www.antivirus-China.org.cn
 电　　话：022-66211488/66211489/66211490 
 传　　真：022-66211487 
 电子邮件：security@tj.cnuninet.net