病毒概況
病毒名稱:蠕蟲病毒Win32.Looked.BA
其它名稱:
病毒屬性:蠕蟲病毒危害性:中等危害流行程度:中
具體介紹:
病毒別稱:
W32.Downloader (Symantec), W32/HLLP.Philis.ba (McAfee), W32/HLLP.Philis.bb (McAfee), W32/HLLP.Philis.dll (McAfee), w32.looked.ao (Symantec), TROJ_LOOKED.GB (Trend), W32.Looked.P (Symantec), W32/Looked-AC (Sophos), TROJ_PE_LOOKED.GB (Trend), TROJ_PE_LOOKED.GB-O (Trend), W32.Virus:Win32/Viking.Z (MS OneCare), Worm.Win32.Viking.ai (Kaspersky), Worm.Win32.Viking.ak (Kaspersky), Worm.Win32.Viking.al (Kaspersky), W32/Worm.DZ (F-Secure)
病毒特性
Win32.Looked.BA是一類感染檔案的蠕蟲,通過網路共享傳播。它還可能生成一個DLL檔案,用來定期的下載並運行任意檔案。
運行時,Win32.Looked.BA複製到%Windows%\Logo1_.exe 和 %Windows%\rundl132.exe,隨後運行%Windows%\rundl132.exe。如果被運行的Looked實例是一個被感染的可運行程式,那么只有蠕蟲的代碼複製到%Windows%\Logo1_.exe 和 %Windows%\rundl132.exe。這個過程完成的時候,蠕蟲會使用一個批處理檔案刪除原始檔案,或者,如果原始檔案是一個被感染的可運行程式,就會替換一個乾淨的副本。隨後運行這個乾淨的檔案。
註:%Windows%是一個可變路徑。病毒通過查詢作業系統來決定當前Windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me中默認的安裝路徑是C:\Windows,windowsXP中默認的安裝路徑是C:\Windows。
Looked生成以下註冊表,以確保在系統啟動時運行病毒:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"
蠕蟲還會嘗試從wmsjsf.com周期性的下載一個或者更多的檔案。
清除:
KILL安全胄甲Vet 30.4.3364 版本可檢測/清除此病毒。