病毒特性: Win32.Looked.H是一种通过网络共享感染文件的蠕虫。它是大小为27,111字节,以Upack格式压缩的Win32可运行程序。它生成一个22,528字节的DLL文件,用来下载并运行二进制运行程序。
感染方式: 运行时,Win32.Looked.H使用以下文件名复制到%Windows%目录: rundl132.exe Logo1_.exe
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:/Winnt,windows95/98/me中默认的安装路径是C:/Windows,windowsXP中默认的安装路径是C:/Windows。 它还会修改注册表,为了在每次系统启动时运行"rundl123.exe" 文件: HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/load = "%Windows%/rundl132.exe"
随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。
传播方式 : 通过感染文件传播 Looked.H在硬盘的z:/ 到 c:/ 驱动器循环移动。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,111字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件: system system32 windows Documents and Settings System Volume Information Recycled Winnt /Program Files/Windows NT /Program Files/WindowsUpdate /Program Files/Windows Media Player /Program Files/Outlook Express /Program Files/Internet Explorer /Program Files/ComPlus Applications /Program Files/NetMeeting /Program Files/Common Files /Program Files/Messenger /Program Files/Microsoft Office /Program Files/Install Shield Installation Information /Program Files/MSN /Program Files/Microsoft Frontpage /Program Files/Movie Maker /Program Files/MSN Gaming Zone
蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。
通过网络共享传播 蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。
蠕虫列举本地C类地址段目标IP地址可用到的共享。
危害 下载并运行任意文件 蠕虫从"jcwz.net" 域下载很多文本和二进制运行文件。它还会尝试下载10个文本文件和10个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。同时,我们还检测到下载文件感染以下病毒: § Win32/Firmox trojan variants § Win32/Lineage trojan variants § Win32/Lemir trojan variants
终止进程 Looked.H会终止以下运行的进程: EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMORE.EXE Ravmond.EXE RavMon.exe
使服务失效 如果以下服务在系统上运行,蠕虫将停止这个服务: Kingsoft AntiVirus Service
|