基本介紹
- 中文名:蠕蟲病毒Win32.Looked.FU
- 其它名稱 :Virus.Win32.Delf .aq Kaspersky
- 病毒屬性 : 蠕蟲病毒
- 危害性 : 中等危害
- 傳播方式:通過感染檔案傳播
病毒概述,感染方式,傳播方式,危害,清除,
病毒概述
病毒名稱:蠕蟲病毒Win32.Looked.FU
流行程度:中
感染方式
Looked.FU生成以下註冊表,以確保每次系統啟動時運行病毒:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\logo1_.exe = "%Windows%\ati3evx.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\logo1_.exe = "%Windows%\ati3evx.exe"
它周期性的重複生成這些鍵值。
註:%Windows%是一個可變路徑。病毒通過查詢作業系統來決定當前Windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me中默認的安裝路徑是C:\Windows,windowsXP中默認的安裝路徑是C:\Windows。
傳播方式
通過感染檔案傳播
如果適合以下條件,"autorun.inf" 檔案引起"pif.exe"檔案運行:
檔案複製後系統已經重啟;
用戶訪問“我的電腦”,雙擊被安裝檔案的驅動器,或者在Windows 資源管理器或“我的電腦”任一個中在被安裝檔案的驅動器點擊右鍵選擇“自動運行”;
在以下註冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
允許自動運行用於被安裝檔案的驅動器類型。默認設定針對Windows XP 和早期的 Windows作業系統允許自動運行用於固定磁碟上(例如:C:\驅動器)。
Looked.FU生成一個檔案列表用來感染,由上面提到的所有驅動器上以.exe.為擴展名的所有檔案組成,忽略包含以下字元串的路徑名:
Recycled
System Volume Information
這個列表保存到%Windows%\SYSTEM32.vxd.dat,一旦列表上的檔案都已經被感染,就會刪除這個檔案。
Looked.FU通過預先將自己添加到檔案來感染檔案。它還會在檔案的末端添加一條橫線。這個橫線用作一個標記,蠕蟲檢查這個標記以確保同一檔案不會多次感染。生成的檔案大小為20,382位元組。
帶有以下名稱的檔案不會被感染:
9you0005_cns.exe
9you0005_yassist.exe
AOE.exe
ARTantra.exe
AutoPatchII.exe
BackgroundDownloader.exe
BDLiveUpdate.exe
BLOOD.exe
BMate.exe
BNUPDATE.exe
Bo.exe
BoCompete.exe
BoOnline.exe
Brood war_Trn.exe
BROOD-C.exe
BugReport.exe
CA.exe
Changer.exe
ChatRoom.exe
Client.exe
clokspl.exe
CONNECT.exe
CoralQQ.exe
CoralQQ98.exe
CQQCfg.exe
CRACK.exe
Cs.exe
cstrike.exe
D2ExRun2.exe
EXCEL.EXE
Frozen Throne.exe
FSOnline.exe
game.exe
GAME2.exe
GAME3.exe
Game4.exe
Game_CRK.exe
GameRun.exe
Gamexp.exe
gpatch.exe
GRAPH.EXE
Gundam.exe
h3blade.exe
h3bmaped.exe
h3camped.exe
h3ccmped.exe
h3maped.exe
HDMsgr.exe
HDRoom.exe
Heroes3.exe
HTLauncher.exe
HTLauncher.exe
INSTCC.exe
JXOnline.exe
key.exe
keygen.exe
Launcher.exe
LOADER.exe
lod_109b.exe
MagicBook.exe
MagicFlash.exe
Mph.exe
mplaynow.exe
MPQ.exe
mpq2k.exe
MSOHELP.EXE
MSOHTMED.EXE
MSTORDB.EXE
MSTORE.EXE
NeoRAGExB.exe
NFSHP2.exe
NMCOSrv.exe
NMService.exe
O2Jam.exe
O2JamPatchClient.exe
O2JamRun.exe
Online.exe
OTwo.exe
patch.exe
Patcher.exe
Play.exe
POKEMON.exe
POWERPNT.EXE
PPTVIEW.EXE
PreBoOnline.exe
PROFLWIZ.EXE
PROJECT1.exe
PServer.exe
PTCpatch.exe
QQ.exe
QQBattleZone.exe
QQexternal.exe
QQLiveUpdate.exe
QQPet.exe
QQPetDazzle.exe
QZoneSupport.exe
ra2.exe
ra21006ch.exe
ra3.exe
ra4.exe
REGISTER.exe
Repair.exe
SBuddyCall.exe
SCIONVI.exe
SCTRAINE.exe
sdoupdate.exe
settings.exe
SetupReg.exe
SNDAFW.exe
STAR107.exe
STAR108.exe
Star109.exe
star110.exe
STARC&C.exe
StarCraft.exe
Starcraft110.exe
StarDraft.exe
STAREDIT.exe
STORMING.exe
Tantra.exe
TantraCrashSender.exe
TIMPlatform.exe
trainer.exe
uninstall.exe
UNWISE.exe
Update.exe
Update.exe
Update.exe Tantra.exe
War3.exe
WAR3TC.exe
War3TFT_115_Chinese_Simp.exe
Warcraft III.exe
WAVTOASF.EXE
WE8.exe
winInetWin.exe
WINWORD.EXE
World Editor.exe
worldedit.exe
WoW.exe
XY.exe
XY1Update.exe
xy2-75.exe
XY2.exe
XY2EXP5.exe
XY2EXP6.exe
XY2EXP7.exe
XY2EXP8.exe
XY2EXP9.exe
xy2player.exe
XY2Update.exe
XYMusic.exe
XYUpdate.exe
yassist.exe
ZERO.exe
Looked.FU在它感染的相同目錄中放置一個名為_desktop.ini的檔案,這個檔案包含被感染檔案的信息。
危害
終止進程
Looked.FU監控以下正在運行的進程,如果發現就會終止這些進程:
ravmon.exe
Ravtask.exe
Ravmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
RavmonD.exe
TrojDie.kxp
FrogAgent.exe
Rundll32.exe
system32\drivers\spoclsv.exe
下載並運行任意檔案
Looked.FU周期性的從mm.21380 .com 下載一個檔案,並將它保存到 %Windows%\SYSTEM32.tmp。這個檔案包含一個URL的列表編碼,這些URL用來下載檔案。下載的檔案保存到%Windows%目錄,使用它們在下載的伺服器上使用的相同的檔案名稱,隨後運行它們。
同時下載的9個檔案,包括Mirtang,Lemir 和 Ditul families病毒變體。
清除
KILL安全胄甲Vet 30.4.3378 版本可檢測/清除此病毒。
