蠕虫病毒Win32.Looked.BX

其它名称

具体介绍(病毒特性 传播方式)

其它信息

其它名称

W32/Downloader.APEX (F-Secure), W32/HLLP.Philis.bs (McAfee), Win32.Looked.BX, Win32/Looked.CE!Dropped!Worm, W32.Looked.P (Symantec), W32/Looked-AV (Sophos), Worm.Win32.Viking.by (Kaspersky)

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：中

具体介绍

病毒特性

Win32.Looked.BX是一种通过网络共享感染文件的蠕虫。它是大小为90,112字节的Win32可运行程序。它生成一个24,064字节的DLL文件，用来下载并运行二进制运行程序。

感染方式：

运行时，Win32.Looked.BX复制到以下位置：

%Windows%\\uninstall\\rundl132.exe

%Windows%\\Logo1_.exe

随后蠕虫修改以下注册表键值，为了在每次系统启动时运行"rundl132.exe"文件：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\load = "%Windows%\\uninstall\\rundl132.exe"

注：%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt，windows95/98/me中默认的安装路径是C:\\Windows，windowsXP中默认的安装路径是C:\\Windows。

Looked.BX在%Windows%目录生成"Dll.dll"文件。蠕虫随后注入代码，将这个DLL文件加载到"explorer.exe" 和"IExplorer.exe"程序中。这个DLL文件用来下载并运行任意文件。

传播方式

通过感染文件传播

Looked.BX在硬盘的z:/ 到 c:/ 驱动器循环搜索。它从本地根目录开始，感染扩展名为 .exe的文件和它的代码中列出的特定文件。以下是蠕虫列出的目标文件：

ACDSee4.exe

ACDSee5.exe

ACDSee6.exe

AgzNew.exe

Archlord.exe

AutoUpdate.exe

autoupdate.exe

BNUpdate.exe

Datang.exe

editplus.exe

EXCEL.EXE

flashget.exe

foxmail.exe

FSOnline.exe

GameClient.exe

install.exe

jxonline_t.exe

launcher.exe

lineage.exe

LineageII.exe

MHAutoPatch.exe

Mir.exe

msnmsgr.exe

Mu.exe

my.exe

NATEON.exe

NSStarter.exe

Patcher.exe

patchupdate.exe

QQ.exe

Ragnarok.exe

realplay.exe

run.exe

setup.exe

Silkroad.exe

Thunder.exe

ThunderShell.exe

TTPlayer.exe

Uedit32.exe

Winrar.exe

WINWORD.EXE

woool.exe

zfs.exe

蠕虫预先将自己添加到一个目标文件，并将文件大小增加到90,112字节。蠕虫不感染超过16,777,216字节的文件，或者带有以下名称的子文件夹中的文件：

system

system32

windows

Documents and Settings

System Volume Information

Recycled

winnt

\\Program Files\\Windows NT

\\Program Files\\WindowsUpdate

\\Program Files\\Windows Media Player

\\Program Files\\Outlook Express

\\Program Files\\Internet Explorer

\\Program Files\\ComPlus Applications

\\Program Files\\NetMeeting

\\Program Files\\Common Files

\\Program Files\\Messenger

\\Program Files\\Install Shield Installation Information

\\Program Files\\MSN

\\Program Files\\Microsoft Frontpage

\\Program Files\\Movie Maker

\\Program Files\\MSN Gaming Zone

蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期，是无害的txt文件。

通过网络共享传播

蠕虫尝试通过IPC$ 和 admin$共享进行传播，使用''administrator''用户名和空口令。它还会尝试很多自带的用户名和密码，包括一个空用户名和口令。

蠕虫通过发送包括"Hello,World"数据的ICMP信息包到本地C类地址段目标IP地址来探测潜在目标。

危害

下载并运行任意文件

蠕虫从"zt01.com"域下载很多任意文件。它还会尝试下载很多文本文件和可运行文件。二进制运行文件下载到%Windows%目录：

SERVICES.EXE

SMSS.EXE

SVCHOST.EXE

WINLOGON.EXE

RUNDLL32.exe

EXPLORER.EXE

CSRSS.exe

LSASS.EXE

Looked.BX下载的2个文件是Win32/Lineage 和 Win32/Niblenyo trojan variants.病毒。

终止进程

Looked.BX会终止以下运行的进程：

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

Ravmond.EXE

Ravmon.exe

regsvc.exe

mcshield.exe

停止服务

如果以下服务在系统上运行，蠕虫将停止这个服务：

Kingsoft AntiVirus Service

关闭窗口

Looked.BX搜索带有"Ravmon.exe"标题的窗口，类别名为"RavMonClass"。如果找到，蠕虫就会关闭这个窗口。

其它信息

蠕虫生成以下注册表键值：

HKLM\\Software\\Soft\\DownloadWWW\\auto = ''1''

清除：

KILL安全胄甲InoculateIT v23.73.68；Vet 30.3.3217 版本可检测/清除此病毒。