病毒日志

病毒名称：蠕虫病毒Win32.Looked.H
其它名称：W32/Gavir.worm (McAfee), Win32/Looked.G!Worm, Win32.Looked.H, W32.Looked.I (Symantec), PE_LOOKED.O (Trend), Worm.Win32.Viking.j (Kaspersky)
病毒属性：蠕虫病毒	危害性：中等危害	流行程度：高
具体介绍：
病毒特性： Win32.Looked.H是一种通过网络共享感染文件的蠕虫。它是大小为27,111字节，以Upack格式压缩的Win32可运行程序。它生成一个22,528字节的DLL文件，用来下载并运行二进制运行程序。 感染方式： 运行时，Win32.Looked.H使用以下文件名复制到%Windows%目录： rundl132.exe Logo1_.exe 注：%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:/Winnt，windows95/98/me中默认的安装路径是C:/Windows，windowsXP中默认的安装路径是C:/Windows。 它还会修改注册表，为了在每次系统启动时运行"rundl123.exe" 文件： HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/load = "%Windows%/rundl132.exe" 随后，蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序，并被用来下载和在Explorer程序中启动程序。 传播方式 : 通过感染文件传播 Looked.H在硬盘的z:/ 到 c:/ 驱动器循环移动。它从本地根目录开始，感染扩展名为.exe的文件。蠕虫预谋自己到目标文件，并将文件大小增长到27,111字节。蠕虫不感染超过10,485,760字节的文件，或者带有以下名称的子文件夹中的文件： system system32 windows Documents and Settings System Volume Information Recycled Winnt /Program Files/Windows NT /Program Files/WindowsUpdate /Program Files/Windows Media Player /Program Files/Outlook Express /Program Files/Internet Explorer /Program Files/ComPlus Applications /Program Files/NetMeeting /Program Files/Common Files /Program Files/Messenger /Program Files/Microsoft Office /Program Files/Install Shield Installation Information /Program Files/MSN /Program Files/Microsoft Frontpage /Program Files/Movie Maker /Program Files/MSN Gaming Zone 蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期，是无害的txt文件。 通过网络共享传播 蠕虫尝试通过IPC$ 和 admin$共享进行传播，使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码，包括一个空用户名和口令。 蠕虫列举本地C类地址段目标IP地址可用到的共享。 危害 下载并运行任意文件 蠕虫从"jcwz.net" 域下载很多文本和二进制运行文件。它还会尝试下载10个文本文件和10个运行文件。二进制运行文件下载到%Windows%目录，并随后运行。同时，我们还检测到下载文件感染以下病毒： § Win32/Firmox trojan variants § Win32/Lineage trojan variants § Win32/Lemir trojan variants 终止进程 Looked.H会终止以下运行的进程： EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMORE.EXE Ravmond.EXE RavMon.exe          使服务失效 如果以下服务在系统上运行，蠕虫将停止这个服务： Kingsoft AntiVirus Service
清除：
KILL安全胄甲InoculateIT v23.72.28；Vet 12.6.2240 版本可检测/清除此病毒。
kill版本：

通讯服务器  受感染文件82