W32.Looked.P病毒

W32.Looked.P是經由網路分享和企圖感染.exe檔案來擴散的病蟲。它會降低安全性設定並會下載且執行遠端的檔案。

當W32.Looked.P執行時會產生以下動作:

1.增加下列檔案:

* %Windir%\rundl132.exe - a copy of W32.Looked.P
* %CurrentFolder%\vDll.dll - a copy of Downloader

注意:

* %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
* %CurrentFolder% is a variable that refers to the folder where the risk was originally executed.

2.檢查下列值:

"auto" = "1"

到這個登錄檔

HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

並且如果被發現，產生感染的紀錄或者退出

3.增加這個值:

"load" = "%Windir%\rundl132.exe"

到這個登錄檔

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

當系統啟動時它跟著執行

4.企圖停止下列的服務:

Kingsoft AntiVirus Service

5.注入它的DLL元件﹑vDll.dll﹑到任一的IEXPLORE.EXE 或 EXPLORER.EXE

6.使用這DLL元件，企圖從下列位置下載檔案:

[http://]www.wowchian.com/dl[2 LETTERS[REMOVED]

7.搜尋由C槽到Y槽的exe檔並且感染所有exe檔案

8.預謀將病毒注入到他在電腦預設位置任何的.exe檔

9.這病蟲產生_desktop.ini檔案在任何目錄裡，它會搜尋可執行檔，這病蟲是隱藏的,和系統屬性設置並且儲存病蟲被執行的日期

10.不會注入.exe檔到具有下列名稱的資料夾:

* system
* system32
* windows
* Documents and Settings
* System Volume Information
* Recycled
* winnt
* Program Files
* Windows NT
* WindowsUpdate
* Windows Media Player
* Outlook Express
* Internet Explorer
* ComPlus Applications
* NetMeeting
* Common Files
* Messenger
* Microsoft Office
* InstallShield Installation Information
* MSN
* Microsoft Frontpage
* Movie Maker
* MSN Gaming Zone

11.也發送包含帶有"Hello,World"的ICMP封裝到下列IP位址:

* 192.168.0.30
* 192.168.8.1

12.也同樣發送ICMP封裝到受感染電腦相同排列的IP位址.

13.如果有任何的電腦回應ICMP封裝，企圖用下列名稱開啟分享資料夾.

14.企圖使用administrator帳號和空白的密碼開啟分享資料夾，如果它成功打開被分享的資料夾，它會複製病毒本身到這些資料夾.

15.在本地端網路列舉所有的電腦和分享的資料夾，這病蟲使用空白的使用者名稱和密碼去開啟這些資料夾.

16.搜尋並且感染在分享資料夾裡的.exe檔.

1. 關閉「系統還原」(Windows Me/XP)。
2. 更新病毒定義檔。
3. 重新開機 至Safe mode 或 VGA mode。
4. 執行完整的系統掃描，刪除所有偵測到的檔案。
5. 復原新增或修改至登錄裡的值。

關於這些步驟的詳細資訊，請閱讀下列指示：

1.先關閉系統還原的功能 (Windows Me/XP)

至於如何關閉作業系統上的系統還原功能可閱讀本機的Windows說明文件

或參照下列鏈結裡的說明:

* "如何開啟或關閉Windows ME的系統還原功能"(英文)
* "如何開啟或關閉WindowsXP上的系統還原功能"(英文)

2. 更新病毒定義檔

手動下載智慧型更新病毒定義檔。

3. 重新開機 至Safe mode 或 VGA mode。

9x/Me/2000/XP 將電腦重新開機於安全模式(Safe mode)下請參考

"How to start the computer in Safe Mode."

Windows NT4使用者重新開機於VGA模式下。

4.執行全系統掃瞄，刪除所有偵測到的檔案

　　　　　　　　 啟動 Norton AntiVirus (NAV)／Symantec Antivirus (SAV)。

請確定 NAV／SAV “掃描所有檔案”.

如果需要請參閱下列文件以調整您的設定

Norton AntiVirus產品用戶 :

< 如何設定Norton AntiVirus來掃描全系統 >(英文)

Symantec AntiVirus 企業用戶：

＜如何去驗證 Symantec corporate antivirus product 有去掃描所有的檔案＞(英文)

5.復原新增或修改至登錄裡的值



警告: 強烈的建議您在對Registry做任何修改前先行備份，相關訊息請參考文件:

“如何去備份Windows裡的登入檔”(英文)



a.按下「開始」，然後按下「執行」。

b.輸入 regedit 然後按下「確定」。

注意︰假如此威脅導致登錄檔編輯器打不開。安全機制中心有個工具tool可以解決此問題。下載此工具tool 並執行，然後繼續執行移除的動作。

c.跳到這個鍵：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

d. 刪除右邊窗格中的值：

"load" = "%Windir%\rundl132.exe"

e. 結束畫面並重新開機。