病毒日志

原创 于 2007-10-29 16:21:00 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #system #express #dll #kill #service

本文详细介绍了蠕虫病毒Win32.Looked.H的特性、感染及传播方式,以及它如何通过网络共享感染文件。此外,还提供了病毒的清除方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

病毒名称:蠕虫病毒Win32.Looked.H
其它名称:W32/Gavir.worm (McAfee), Win32/Looked.G!Worm, Win32.Looked.H, W32.Looked.I (Symantec), PE_LOOKED.O (Trend), Worm.Win32.Viking.j (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:


病毒特性:
Win32.Looked.H是一种通过网络共享感染文件的蠕虫。它是大小为27,111字节,以Upack格式压缩的Win32可运行程序。它生成一个22,528字节的DLL文件,用来下载并运行二进制运行程序。


感染方式:
运行时,Win32.Looked.H使用以下文件名复制到%Windows%目录:
rundl132.exe
Logo1_.exe

注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:/Winnt,windows95/98/me中默认的安装路径是C:/Windows,windowsXP中默认的安装路径是C:/Windows。
它还会修改注册表,为了在每次系统启动时运行"rundl123.exe" 文件:
HKCU/Software/Microsoft/Windows NT/CurrentVersion/Windows/load = "%Windows%/rundl132.exe"

随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。


传播方式 :
通过感染文件传播
Looked.H在硬盘的z:/ 到 c:/ 驱动器循环移动。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,111字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
/Program Files/Windows NT
/Program Files/WindowsUpdate
/Program Files/Windows Media Player
/Program Files/Outlook Express
/Program Files/Internet Explorer
/Program Files/ComPlus Applications
/Program Files/NetMeeting
/Program Files/Common Files
/Program Files/Messenger
/Program Files/Microsoft Office
/Program Files/Install Shield Installation Information
/Program Files/MSN
/Program Files/Microsoft Frontpage
/Program Files/Movie Maker
/Program Files/MSN Gaming Zone

蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。


通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。

蠕虫列举本地C类地址段目标IP地址可用到的共享。


危害
下载并运行任意文件
蠕虫从"jcwz.net" 域下载很多文本和二进制运行文件。它还会尝试下载10个文本文件和10个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。同时,我们还检测到下载文件感染以下病毒:
§ Win32/Firmox trojan variants
§ Win32/Lineage trojan variants
§ Win32/Lemir trojan variants


终止进程
Looked.H会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe         


使服务失效
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service

清除:

KILL安全胄甲InoculateIT v23.72.28;Vet 12.6.2240 版本可检测/清除此病毒。

kill版本:
通讯服务器  受感染文件82
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值