蠕虫病毒Win32.Looked.BA
病毒名称:蠕虫病毒Win32.Looked.BA
其它名称:
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒别称:
W32.Downloader (Symantec), W32/HLLP.Philis.ba (McAfee), W32/HLLP.Philis.bb (McAfee), W32/HLLP.Philis.dll (McAfee), W32.Looked.AO (Symantec), TROJ_LOOKED.GB (Trend), W32.Looked.P (Symantec), W32/Looked-AC (Sophos), TROJ_PE_LOOKED.GB (Trend), TROJ_PE_LOOKED.GB-O (Trend), W32.Virus:Win32/Viking.Z (MS OneCare), Worm.Win32.Viking.ai (Kaspersky), Worm.Win32.Viking.ak (Kaspersky), Worm.Win32.Viking.al (Kaspersky), W32/Worm.DZ (F-Secure)
病毒特性:
Win32.Looked.BA是一类感染文件的蠕虫,通过网络共享传播。它还可能生成一个DLL文件,用来定期的下载并运行任意文件。
运行时,Win32.Looked.BA复制到%Windows%Logo1_.exe 和 %Windows%
undl132.exe,随后运行%Windows%
undl132.exe。如果被运行的Looked实例是一个被感染的可运行程序,那么只有蠕虫的代码复制到%Windows%Logo1_.exe 和 %Windows%
undl132.exe。这个过程完成的时候,蠕虫会使用一个批处理文件删除原始文件,或者,如果原始文件是一个被感染的可运行程序,就会替换一个干净的副本。随后运行这个干净的文件。
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt,windows95/98/me中默认的安装路径是C:Windows,windowsXP中默认的安装路径是C:Windows。
Looked生成以下注册表,以确保在系统启动时运行病毒:
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload = "%Windows%
undl132.exe"
蠕虫还会尝试从wmsjsf.com周期性的下载一个或者更多的文件。
清除:
KILL安全胄甲Vet 30.4.3364 版本可检测/清除此病毒。