病毒特性:
Win32.Looked.P是一种通过网络共享感染文件的蠕虫。它是大小为27,075字节,以Upack格式压缩的Win32可运行程序。它生成一个23,040字节的DLL文件,用来下载并运行二进制运行程序。
感染方式:
运行时,Win32.Looked.P使用以下文件名复制到%Windows%目录:
rundl132.exe
Logo1_.exe
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt,windows95/98/me中默认的安装路径是C:\Windows,windowsXP中默认的安装路径是C:\Windows。
它还会修改注册表,为了在每次系统启动时运行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"
随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。
蠕虫还会生成"SemaphoreMe",以确保每次只有一个副本运行。
传播方式 :
通过感染文件传播
Looked.S在硬盘的z:/ 到 c:/ 驱动器循环搜索。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,075字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone
蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。
通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。
蠕虫通过发送包括"Hello,World"数据的ICMP信息包到本地C类地址段目标IP地址来探测潜在目标。
危害
下载并运行任意文件
蠕虫从"17dk.com"域下载很多文本和二进制文件。它还会尝试下载2个文本文件和2个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。
终止进程
Looked.S会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe
停止服务
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service
关闭窗口
Looked.S搜索带有"Ravmon.exe"标题的窗口,类别名为"RavMonClass"。如果找到,蠕虫就会关闭这个窗口。
