病毒概況
病毒名稱:蠕蟲病毒Win32.Looked.CF
其它名稱:W32/HLLP.Philis.bz (McAfee), W32/Looked!ITW#51 (Wildlist), W32.Looked.BK (Symantec), PE_LOOKED.MP-O (Trend), W32/Looked-BV (Sophos), Worm.Win32.Viking.cf (Kaspersky), Virus:Win32/Viking.CF (MS OneCare)
病毒屬性:蠕蟲病毒危害性:中等危害流行程度:中
具體介紹:
病毒特性
Looked的這個變體是大小為55,937位元組的Win32可運行程式,帶有以下特徵:
運行時,Win32.Looked.CF複製到%Windows%\Logo1_.exe 和 %Windows%\rundl132.exe,隨後運行%Windows%\Logo1_.exe。如果被運行的Looked實例是一個被感染的可運行程式,那么只有蠕蟲的代碼複製到%Windows%\Logo1_.exe 和 %Windows%\rundl132.exe。這個過程完成的時候,蠕蟲會使用一個批處理檔案刪除原始檔案,或者,如果原始檔案是一個被感染的可運行程式,就會替換一個乾淨的副本。隨後運行這個乾淨的檔案。
註:%Windows%是一個可變路徑。病毒通過查詢作業系統來決定當前Windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me中默認的安裝路徑是C:\Windows,windowsXP中默認的安裝路徑是C:\Windows。
Looked生成以下註冊表,以確保在系統啟動時運行病毒:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load = "%Windows%\uninstall\rundl132.exe"
蠕蟲還會嘗試從http://www.hudong.com/wiki/www.down988.cn%E5%91%A8%E6%9C%9F%E6%80%A7%E7%9A%84%E4%B8%8B%E8%BC%89%E4%B8%80%E5%80%8B%E6%88%96%E8%80%85%E6%9B%B4%E5%A4%9A%E7%9A%84%E6%AA%94%E6%A1%88。
清除:
KILL安全胄甲Vet 30.3.3219版本可檢測/清除此病毒。
