蠕蟲病毒Win32.Looked.BX,是一種通過網路共享感染檔案的蠕蟲。它是大小為90,112位元組的Win32可運行程式。它生成一個24,064位元組的DLL檔案,用來下載並運行二進制運行程式。其感染的方式是通過感染檔案傳播。
基本介紹
- 中文名:蠕蟲病毒Win32.Looked.BX
- 病毒屬性:蠕蟲病毒
- 危害性:中等危害
- 流行程度:中
- 類型:電腦病毒
其它名稱,具體介紹,傳播方式,其它信息,
其它名稱
W32/Downloader.APEX (F-Secure), W32/HLLP.Philis.bs (McAfee), Win32.Looked.BX, Win32/Looked.CE!Dropped!Worm, W32.Looked.P (Symantec), W32/Looked-AV (Sophos), Worm.Win32.Viking.by (Kaspersky)
病毒屬性:蠕蟲病毒 危害性:中等危害 流行程度:中
具體介紹
感染方式:
運行時,Win32.Looked.BX複製到以下位置:
%Windows%\uninstall\rundl132.exe
%Windows%\Logo1_.exe
隨後蠕蟲修改以下註冊表鍵值,為了在每次系統啟動時運行"rundl132.exe"檔案:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load = "%Windows%\uninstall\rundl132.exe"
註:%Windows%是一個可變路徑。病毒通過查詢作業系統來決定當前Windows資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me中默認的安裝路徑是C:\Windows,windowsXP中默認的安裝路徑是C:\Windows。
Looked.BX在%Windows%目錄生成"Dll.dll"檔案。蠕蟲隨後注入代碼,將這個DLL檔案載入到"explorer.exe" 和"IExplorer.exe"程式中。這個DLL檔案用來下載並運行任意檔案。
傳播方式
Looked.BX在硬碟的z:/ 到 c:/ 驅動器循環搜尋。它從本地根目錄開始,感染擴展名為 .exe的檔案和它的代碼中列出的特定檔案。以下是蠕蟲列出的目標檔案:
ACDSee4.exe
ACDSee5.exe
ACDSee6.exe
AgzNew.exe
Archlord.exe
AutoUpdate.exe
autoupdate.exe
BNUpdate.exe
Datang.exe
editplus.exe
EXCEL.EXE
FSOnline.exe
GameClient.exe
install.exe
jxonline_t.exe
launcher.exe
lineage.exe
LineageII.exe
MHAutoPatch.exe
Mir.exe
msnmsgr.exe
Mu.exe
my.exe
NATEON.exe
NSStarter.exe
Patcher.exe
patchupdate.exe
QQ.exe
Ragnarok.exe
realplay.exe
run.exe
setup.exe
Silkroad.exe
Thunder.exe
ThunderShell.exe
TTPlayer.exe
Uedit32.exe
WINWORD.EXE
woool.exe
zfs.exe
蠕蟲預先將自己添加到一個目標檔案,並將檔案大小增加到90,112位元組。蠕蟲不感染超過16,777,216位元組的檔案,或者帶有以下名稱的子資料夾中的檔案:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone
蠕蟲還會在每個經過的目錄中生成一個名為"_desktop.ini"的檔案。這個檔案包含系統日期,是無害的txt檔案。
通過網路共享傳播
蠕蟲嘗試通過IPC$ 和 admin$共享進行傳播,使用'administrator'用戶名和空口令。它還會嘗試很多自帶的用戶名和密碼,包括一個空用戶名和口令。
蠕蟲通過傳送包括"Hello,World"數據的ICMP信息包到本地C類地址段目標IP位址來探測潛在目標。
危害
下載並運行任意檔案
蠕蟲從"zt01.com"域下載很多任意檔案。它還會嘗試下載很多文本檔案和可運行檔案。二進制運行檔案下載到%Windows%目錄:
SERVICES.EXE
SMSS.EXE
SVCHOST.EXE
WINLOGON.EXE
RUNDLL32.exe
EXPLORER.EXE
CSRSS.exe
LSASS.EXE
Looked.BX下載的2個檔案是Win32/Lineage 和 Win32/Niblenyo trojan variants.病毒。
終止進程
Looked.BX會終止以下運行的進程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
Ravmon.exe
mcshield.exe
停止服務
如果以下服務在系統上運行,蠕蟲將停止這個服務:
Kingsoft AntiVirus Service
關閉視窗
Looked.BX搜尋帶有"Ravmon.exe"標題的視窗,類別名為"RavMonClass"。如果找到,蠕蟲就會關閉這個視窗。
其它信息
蠕蟲生成以下註冊表鍵值:
HKLM\Software\Soft\DownloadWWW\auto = '1'
清除:
KILL安全胄甲InoculateIT v23.73.68;Vet 30.3.3217 版本可檢測/清除此病毒。
