一、网络病毒:W32.Looked.AO 危害级别:★★★★☆
根据光华反病毒研究中心专家介绍,这是一个网络蠕虫病毒,感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统。它降低系统安全设置,感染本地和网络共享目录中的可执行文件,下载传播其他病毒文件,当收到、打开此病毒后,有以下现象:
A 复制自身到windows目录下为 rundl132.exe 和 Logo1_.exe
B 生成文件 Dll.dll,下载传播其他病毒文件
C 生成文件 C:\1.txt
windows目录\0Sy.exe
用户目录\Local Settings\Temp\$$a5.bat
用户目录\Local Settings\Temp\$$ab.bat
D 如果注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW 中有键值 "auto" = "1" 退出
E 如果注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 中有键值 "ver_down0" = "[下载的文本]" 退出
F 创建 D、E 中的键值
G 创建注册表项 "load" = "%Windir%\rundl132.exe" 到
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
使得病毒每次开机后自动执行
H 结束以下进程
RavMon.exe
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
I 停止 Kingsoft AntiVirus Service 服务
J 将 Dll.dll 插入到进程 iexplorer.exe 和 explorer.exe 中
K 从网上下载 7 个病毒并执行
L 将下载的病毒保存到 windows 目录的文件并命名为 0Sy.exe 等
M 搜索C盘到Y盘中的所有exe文件并感染
N 搜索网络共享目录中的所有exe文件并感染
O 通过 ICMP 协议,发送数据包 Hello,World
P 每感染一个文件夹后,在文件夹中创建文件 _desktop.ini ,保存病毒感染的日期,设置为隐藏系统属性
Q 排除以下文件夹不感染
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
ComPlus Application
NetMeeting
Common Files
Messenger
InstallShield Installation Information
Microsoft FrontPage
Movie Maker
MSN Gaming Zone
R 设置音量为 0 (使用户听不到杀毒软件的报警声)
S 关闭杀毒软件报警窗口
