蠕虫病毒Win32.Looked.BX
其它名称
W32/Downloader.APEX (F-Secure), W32/HLLP.Philis.bs (McAfee), Win32.Looked.BX, Win32/Looked.CE!Dropped!Worm, W32.Looked.P (Symantec), W32/Looked-AV (Sophos), Worm.Win32.Viking.by (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍
病毒特性
Win32.Looked.BX是一种通过网络共享感染文件的蠕虫。它是大小为90,112字节的Win32可运行程序。它生成一个24,064字节的DLL文件,用来下载并运行二进制运行程序。
感染方式:
运行时,Win32.Looked.BX复制到以下位置:
%Windows%\\uninstall\\rundl132.exe
%Windows%\\Logo1_.exe
随后蠕虫修改以下注册表键值,为了在每次系统启动时运行"rundl132.exe"文件:
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\load = "%Windows%\\uninstall\\rundl132.exe"
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt,windows95/98/me中默认的安装路径是C:\\Windows,windowsXP中默认的安装路径是C:\\Windows。
Looked.BX在%Windows%目录生成"Dll.dll"文件。蠕虫随后注入代码,将这个DLL文件加载到"explorer.exe" 和"IExplorer.exe"程序中。这个DLL文件用来下载并运行任意文件。
传播方式
通过感染文件传播
Looked.BX在硬盘的z:/ 到 c:/ 驱动器循环搜索。它从本地根目录开始,感染扩展名为 .exe的文件和它的代码中列出的特定文件。以下是蠕虫列出的目标文件:
ACDSee4.exe
ACDSee5.exe
ACDSee6.exe
AgzNew.exe
Archlord.exe
AutoUpdate.exe
autoupdate.exe
BNUpdate.exe
Datang.exe
editplus.exe
EXCEL.EXE
flashget.exe
foxmail.exe
FSOnline.exe
GameClient.exe
install.exe
jxonline_t.exe
launcher.exe
lineage.exe
LineageII.exe
MHAutoPatch.exe
Mir.exe
msnmsgr.exe
Mu.exe
my.exe
NATEON.exe
NSStarter.exe
Patcher.exe
patchupdate.exe
QQ.exe
Ragnarok.exe
realplay.exe
run.exe
setup.exe
Silkroad.exe
Thunder.exe
ThunderShell.exe
TTPlayer.exe
Uedit32.exe
Winrar.exe
WINWORD.EXE
woool.exe
zfs.exe
蠕虫预先将自己添加到一个目标文件,并将文件大小增加到90,112字节。蠕虫不感染超过16,777,216字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
\\Program Files\\Windows NT
\\Program Files\\WindowsUpdate
\\Program Files\\Windows Media Player
\\Program Files\\Outlook Express
\\Program Files\\Internet Explorer
\\Program Files\\ComPlus Applications
\\Program Files\\NetMeeting
\\Program Files\\Common Files
\\Program Files\\Messenger
\\Program Files\\Install Shield Installation Information
\\Program Files\\MSN
\\Program Files\\Microsoft Frontpage
\\Program Files\\Movie Maker
\\Program Files\\MSN Gaming Zone
蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。
通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用''administrator''用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。
蠕虫通过发送包括"Hello,World"数据的ICMP信息包到本地C类地址段目标IP地址来探测潜在目标。
危害
下载并运行任意文件
蠕虫从"zt01.com"域下载很多任意文件。它还会尝试下载很多文本文件和可运行文件。二进制运行文件下载到%Windows%目录:
SERVICES.EXE
SMSS.EXE
SVCHOST.EXE
WINLOGON.EXE
RUNDLL32.exe
EXPLORER.EXE
CSRSS.exe
LSASS.EXE
Looked.BX下载的2个文件是Win32/Lineage 和 Win32/Niblenyo trojan variants.病毒。
终止进程
Looked.BX会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
Ravmon.exe
regsvc.exe
mcshield.exe
停止服务
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service
关闭窗口
Looked.BX搜索带有"Ravmon.exe"标题的窗口,类别名为"RavMonClass"。如果找到,蠕虫就会关闭这个窗口。
其它信息
蠕虫生成以下注册表键值:
HKLM\\Software\\Soft\\DownloadWWW\\auto = ''1''
清除:
KILL安全胄甲InoculateIT v23.73.68;Vet 30.3.3217 版本可检测/清除此病毒。