遠端舊版檔案問題

感染過程

Looked於2004年12月17日被發現。根據賽門鐵克的報告，當病毒被執行時，會發生下列的各項事情：

在受病毒感染的檔案所在位置生成 virDll.dll

把病毒檔 virDll.dll 嘗試注入Internet Explorer。

從 www.lookde5.com 下載一個名為“1.exe”的檔案。這個檔案其實是用來盜取宿主上暫存的密碼。

從 C Drive 開始搜尋所有硬碟內的執行檔，並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列，詳見賽門鐵克的網頁)

Looked.P於2006年7月被發現。根據賽門鐵克的報告，當病毒被執行時，會發生下列的各項事情：

把自己複製到Windows的系統目錄(即位於%Windir% 的目錄)
把病毒 vDll.dll 下載到所在的目錄 (比較原版的 virDll.dll)
檢查機碼HKLM\SOFTWARE\Soft\DownloadWWW 是否存在，若有的話，再檢查"auto"值的資料是否為"1"。
若以上三個狀況都成立，病毒會結束；否則的話，就會在宿主建立上述機碼。
在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 這機碼加上 "load" = "%Windir%\rundl132.exe" 的字串值，好讓系統在重新啟動時，會把病毒載入系統內。
嘗試關閉 Kingsoft AntiVirus Service 的運作。
與病毒的原版一樣把 vDll.dll 嘗試注入Internet Explorer，但新版亦會同時注入Explorer內。
從 C Drive 開始搜尋所有硬碟內的執行檔，並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列，詳見賽門鐵克的網頁)

一般用戶及公司過去只有留意有沒有更新病毒定義檔，而並未有花錢在更新軟體之上。而在香港，有不少學校亦礙於經費問題，在軟體購置時態度非常審慎。碰巧這一系列病毒在較舊的掃毒軟體未能偵測、或可以偵測但不能清除，使掃毒軟體無形中不能發揮應有的功效。