蠕虫病毒Win32.Looked.FU
病毒名称:蠕虫病毒Win32.Looked.FU
其它名称:Virus.Win32.Delf.aq (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
Win32.Looked.FU是一个20,377 字节的蠕虫,它通过感染文件和定期下载并运行任意文件进行传播。
感染方式:
运行时,Win32.Looked.FU复制到%Windows%ati3evx.exe,随后运行一个新的副本。它使用一个批处理脚本删除原始文件。它没有运行任意感染文件的原始内容。
Looked.FU生成以下注册表,以确保每次系统启动时运行病毒:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunlogo1_.exe = "%Windows%ati3evx.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunlogo1_.exe = "%Windows%ati3evx.exe"
它周期性的重复生成这些键值。
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt,windows95/98/me中默认的安装路径是C:Windows,windowsXP中默认的安装路径是C:Windows。
传播方式 :
通过感染文件传播
Looked.FU在硬盘的Z:/ 到 A:/ 驱动器循环搜索。它将autorun.inf 文件和pif.exe文件放到每个驱动器的根目录下。
如果适合以下条件,"autorun.inf" 文件引起"pif.exe"文件运行:
文件复制后系统已经重启;
用户访问“我的电脑”,双击被安装文件的驱动器,或者在Windows 资源管理器或“我的电脑”任一个中在被安装文件的驱动器点击右键选择“自动运行”;
在以下注册表:
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun
允许自动运行用于被安装文件的驱动器类型。默认设置针对Windows XP 和早期的 Windows操作系统允许自动运行用于固定磁盘上(例如:C:驱动器)。
Looked.FU生成一个文件列表用来感染,由上面提到的所有驱动器上以.exe.为扩展名的所有文件组成,忽略包含以下字符串的路径名:
Recycled
System Volume Information
这个列表保存到%Windows%SYSTEM32.vxd.dat,一旦列表上的文件都已经被感染,就会删除这个文件。
Looked.FU通过预先将自己添加到文件来感染文件。它还会在文件的末端添加一条横线。这个横线用作一个标记,蠕虫检查这个标记以确保同一文件不会多次感染。生成的文件大小为20,382字节。
带有以下名称的文件不会被感染:
9you0005_cns.exe
9you0005_yassist.exe
AOE.exe
ARTantra.exe
AutoPatchII.exe
BackgroundDownloader.exe
BDLiveUpdate.exe
BLOOD.exe
BMate.exe
BNUPDATE.exe
Bo.exe
BoCompete.exe
BoOnline.exe
Brood war_Trn.exe
BROOD-C.exe
BugReport.exe
CA.exe
Changer.exe
ChatRoom.exe
Client.exe
clokspl.exe
cns.exe
CONNECT.exe
CoralQQ.exe
CoralQQ98.exe
CQQCfg.exe
CRACK.exe
Cs.exe
cstrike.exe
D2ExRun2.exe
EXCEL.EXE
Frozen Throne.exe
FSOnline.exe
game.exe
GAME2.exe
GAME3.exe
Game4.exe
Game_CRK.exe
GameRun.exe
Gamexp.exe
gpatch.exe
GRAPH.EXE
Gundam.exe
h3blade.exe
h3bmaped.exe
h3camped.exe
h3ccmped.exe
h3maped.exe
HDMsgr.exe
HDRoom.exe
Heroes3.exe
HTLauncher.exe
HTLauncher.exe
INSTCC.exe
JXOnline.exe
key.exe
keygen.exe
Launcher.exe
LOADER.exe
lod_109b.exe
MagicBook.exe
MagicFlash.exe
Mph.exe
mplaynow.exe
MPQ.exe
mpq2k.exe
MSOHELP.EXE
MSOHTMED.EXE
MSTORDB.EXE
MSTORE.EXE
NeoRAGExB.exe
NFSHP2.exe
NMCOSrv.exe
NMService.exe
O2Jam.exe
O2JamPatchClient.exe
O2JamRun.exe
Online.exe
OTwo.exe
patch.exe
Patcher.exe
Play.exe
POKEMON.exe
POWERPNT.EXE
PPTVIEW.EXE
PreBoOnline.exe
PROFLWIZ.EXE
PROJECT1.exe
PServer.exe
PTCpatch.exe
QQ.exe
QQBattleZone.exe
QQexternal.exe
QQLiveUpdate.exe
QQMusic.exe
QQPet.exe
QQPetDazzle.exe
QZoneSupport.exe
ra2.exe
ra21006ch.exe
ra3.exe
ra4.exe
REGISTER.exe
Repair.exe
SBuddyCall.exe
SCIONVI.exe
SCTRAINE.exe
sdoupdate.exe
settings.exe
SetupReg.exe
SNDAFW.exe
STAR107.exe
STAR108.exe
Star109.exe
star110.exe
STARC&C.exe
StarCraft.exe
Starcraft110.exe
StarDraft.exe
STAREDIT.exe
STORMING.exe
Tantra.exe
TantraCrashSender.exe
TIMPlatform.exe
Timwp.exe
trainer.exe
uninstall.exe
UNWISE.exe
Update.exe
Update.exe
Update.exe Tantra.exe
War3.exe
WAR3TC.exe
War3TFT_115_Chinese_Simp.exe
Warcraft III.exe
WAVTOASF.EXE
WE8.exe
winInetWin.exe
WINWORD.EXE
World Editor.exe
worldedit.exe
WoW.exe
XY.exe
XY1Update.exe
xy2-75.exe
XY2.exe
XY2EXP5.exe
XY2EXP6.exe
XY2EXP7.exe
XY2EXP8.exe
XY2EXP9.exe
xy2player.exe
XY2Update.exe
XYMusic.exe
XYUpdate.exe
yassist.exe
ZERO.exe
Looked.FU在它感染的相同目录中放置一个名为_desktop.ini的文件,这个文件包含被感染文件的信息。
危害
终止进程
Looked.FU监控以下正在运行的进程,如果发现就会终止这些进程:
ravmon.exe
Ravtask.exe
Ravmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
RavmonD.exe
TrojDie.kxp
FrogAgent.exe
Rundll32.exe
system32driversspoclsv.exe
下载并运行任意文件
Looked.FU周期性的从mm.21380.com 下载一个文件,并将它保存到 %Windows%SYSTEM32.tmp。这个文件包含一个URL的列表编码,这些URL用来下载文件。下载的文件保存到%Windows%目录,使用它们在下载的服务器上使用的相同的文件名,随后运行它们。
同时下载的9个文件,包括Mirtang,Lemir 和 Ditul families病毒变体。
清除:
KILL安全胄甲Vet 30.4.3378 版本可检测/清除此病毒。