蠕虫病毒Win32.Looked.CF

病毒名称：蠕虫病毒Win32.Looked.CF

其它名称：W32/HLLP.Philis.bz (McAfee), W32/Looked!ITW#51 (WildList), W32.Looked.BK (Symantec), PE_LOOKED.MP-O (Trend), W32/Looked-BV (Sophos), Worm.Win32.Viking.cf (Kaspersky), Virus:Win32/Viking.CF (MS OneCare)

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：中

具体介绍：

病毒特性：

Win32.Looked.CF是一类感染文件的蠕虫，通过网络共享传播。它还可能生成一个DLL文件，用来定期的下载并运行任意文件。

Looked的这个变体是大小为55,937字节的Win32可运行程序，带有以下特征：

运行时，Win32.Looked.CF复制到%Windows%Logo1_.exe 和 %Windows%

undl132.exe，随后运行%Windows%Logo1_.exe。如果被运行的Looked实例是一个被感染的可运行程序，那么只有蠕虫的代码复制到%Windows%Logo1_.exe 和 %Windows%

undl132.exe。这个过程完成的时候，蠕虫会使用一个批处理文件删除原始文件，或者，如果原始文件是一个被感染的可运行程序，就会替换一个干净的副本。随后运行这个干净的文件。

注：%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:Winnt，windows95/98/me中默认的安装路径是C:Windows，windowsXP中默认的安装路径是C:Windows。

Looked生成以下注册表，以确保在系统启动时运行病毒：

HKLMSoftwareMicrosoftWindowsCurrentVersionRunload = "%Windows%uninstall

undl132.exe"

蠕虫还会尝试从www.down988.cn周期性的下载一个或者更多的文件。

清除：

KILL安全胄甲Vet 30.3.3219版本可检测/清除此病毒。