蠕虫病毒Win32.Looked.CF
病毒名称:蠕虫病毒Win32.Looked.CF
其它名称:W32/HLLP.Philis.bz (McAfee), W32/Looked!ITW#51 (WildList), W32.Looked.BK (Symantec), PE_LOOKED.MP-O (Trend), W32/Looked-BV (Sophos), Worm.Win32.Viking.cf (Kaspersky), Virus:Win32/Viking.CF (MS OneCare)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
Win32.Looked.CF是一类感染文件的蠕虫,通过网络共享传播。它还可能生成一个DLL文件,用来定期的下载并运行任意文件。
Looked的这个变体是大小为55,937字节的Win32可运行程序,带有以下特征:
运行时,Win32.Looked.CF复制到%Windows%Logo1_.exe 和 %Windows%
undl132.exe,随后运行%Windows%Logo1_.exe。如果被运行的Looked实例是一个被感染的可运行程序,那么只有蠕虫的代码复制到%Windows%Logo1_.exe 和 %Windows%
undl132.exe。这个过程完成的时候,蠕虫会使用一个批处理文件删除原始文件,或者,如果原始文件是一个被感染的可运行程序,就会替换一个干净的副本。随后运行这个干净的文件。
注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt,windows95/98/me中默认的安装路径是C:Windows,windowsXP中默认的安装路径是C:Windows。
Looked生成以下注册表,以确保在系统启动时运行病毒:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunload = "%Windows%uninstall
undl132.exe"
蠕虫还会尝试从www.down988.cn周期性的下载一个或者更多的文件。
清除:
KILL安全胄甲Vet 30.3.3219版本可检测/清除此病毒。