病毒名称W32.Looked.AH
病毒级别一般
病毒利用的漏洞的CVE编号 无
病毒简述类型: 蠕虫
W32.Looked.AH是一个蠕虫病毒。病毒感染主机上可执行文件。
当病毒发作时,具有以下行为:
1.病毒复制自身为以下文件:
%Windir%\rundl132.exe
%Windir%\Logo1_.exe
2.病毒创建文件%Windir%\Dll.dll。
3.病毒创建下列文件
C:\1.txt
%Windir%\0Sy.exe
%UserProfile%\Local Settings\Temp\$$a5.bat
%UserProfile%\Local Settings\Temp\$$ab.bat
4.病毒检查注册表信息来判断是否已感染
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW\"auto" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\"ver_down0" = "[downloaded text from [http://]lele.0451.net/gua/3in[REMOVED]]"
5.病毒填加注册表信息
"load" = "%Windir%\rundl132.exe"
到注册表子键:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
以便在系统启动时运行
6.病毒终止下列安全相关进程
RavMon.exe EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE Ravmond.EXE
regsvc.exe RavMon.exe mcshield.exe
7.病毒尝试终止Kingsoft AntiVirus Service服务。
8.尝试注入 Dll.dll到iexplorer.exe或者explorer.exe进程,此DLL组件尝试从远程站点下载文件
[http://]lele.0451.net/gua/3in[REMOVED]
9.搜索所有的.exe文件进行感染。
10.病毒避免感染下目录下的exe文件
system system32 windows Documents and Settings System Volume Information
Recycled Windows NT WindowsUpdate ComPlus Application NetMeeting
Common Files Messenger InstallShield Installation Information
Microsoft FrontPage Movie Maker MSN Gaming Zone
受影响的操作系统Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
病毒解决1.禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能.默认情况下启用此功能,一旦计算机中的文件被破坏,Windows Me/XP 可使用此功能将其还原.如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
2.升级病毒定义库
趋势TSC下载http://www.trendmicro.com/ftp/products/tsc/tsc.zip
诺顿下载http://securityresponse.symantec.com/avcenter/defs.download.html
3.运行Trend或其它防病毒软件进行完全扫描,并且删除或修复所有受影响的文件。
4.从注册表中删除相关值
a.单击“开始”>“运行”
b.键入 regedit
c.单击“确定”
d.导航到以下子键
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
e.在右边框中,删除下列键值
"load" = "%Windir%\rundl132.exe"
f.退出注册表编辑器
参考链接
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091513-2550-99
消息来源于:www.symantec.com
