蠕虫病毒Win32.Looked.FU是一个20,377 字节的蠕虫，它通过感染文件和定期下载并运行任意文件进行传播。

病毒概述

感染方式

传播方式

危害

清除

病毒概述

病毒名称：蠕虫病毒Win32.Looked.FU

其它名称：Virus.Win32.Delf .aq (Kaspersky)

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：中

感染方式

运行时，Win32.Looked.FU复制到%Windows%\\ati3evx.exe，随后运行一个新的副本。它使用一个批处理脚本删除原始文件。它没有运行任意感染文件的原始内容。

Looked.FU生成以下注册表，以确保每次系统启动时运行病毒：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run\\logo1_.exe = "%Windows%\\ati3evx.exe"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\logo1_.exe = "%Windows%\\ati3evx.exe"

它周期性的重复生成这些键值。

注：%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt，windows95/98/me中默认的安装路径是C:\\Windows，windowsXP中默认的安装路径是C:\\Windows。

传播方式

通过感染文件传播

Looked.FU在硬盘的Z:/ 到 A:/ 驱动器循环搜索。它将autorun.inf 文件和pif.exe文件放到每个驱动器的根目录下。

如果适合以下条件，"autorun.inf" 文件引起"pif.exe"文件运行：

文件复制后系统已经重启；

用户访问“我的电脑”，双击被安装文件的驱动器，或者在Windows 资源管理器或“我的电脑”任一个中在被安装文件的驱动器点击右键选择“自动运行”；

在以下注册表：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oDriveTypeAutoRun

允许自动运行用于被安装文件的驱动器类型。默认设置针对Windows XP 和早期的 Windows操作系统允许自动运行用于固定磁盘上（例如：C:\\驱动器）。

Looked.FU生成一个文件列表用来感染，由上面提到的所有驱动器上以.exe.为扩展名的所有文件组成，忽略包含以下字符串的路径名：

Recycled

System Volume Information

这个列表保存到%Windows%\\SYSTEM32.vxd.dat，一旦列表上的文件都已经被感染，就会删除这个文件。

Looked.FU通过预先将自己添加到文件来感染文件。它还会在文件的末端添加一条横线。这个横线用作一个标记，蠕虫检查这个标记以确保同一文件不会多次感染。生成的文件大小为20,382字节。

带有以下名称的文件不会被感染：

9you0005_cns.exe

9you0005_yassist.exe

AOE.exe

ARTantra.exe

AutoPatchII.exe

BackgroundDownloader.exe

BDLiveUpdate.exe

BLOOD.exe

BMate.exe

BNUPDATE.exe

Bo.exe

BoCompete.exe

BoOnline.exe

Brood war_Trn.exe

BROOD-C.exe

BugReport.exe

CA.exe

Changer.exe

ChatRoom.exe

Client.exe

clokspl.exe

cns.exe

CONNECT.exe

CoralQQ.exe

CoralQQ98.exe

CQQCfg.exe

CRACK.exe

Cs.exe

cstrike.exe

D2ExRun2.exe

EXCEL.EXE

Frozen Throne.exe

FSOnline.exe

game.exe

GAME2.exe

GAME3.exe

Game4.exe

Game_CRK.exe

GameRun.exe

Gamexp.exe

gpatch.exe

GRAPH.EXE

Gundam.exe

h3blade.exe

h3bmaped.exe

h3camped.exe

h3ccmped.exe

h3maped.exe

HDMsgr.exe

HDRoom.exe

Heroes3.exe

HTLauncher.exe

HTLauncher.exe

INSTCC.exe

JXOnline.exe

key.exe

keygen.exe

Launcher.exe

LOADER.exe

lod_109b.exe

MagicBook.exe

MagicFlash.exe

Mph.exe

mplaynow.exe

MPQ.exe

mpq2k.exe

MSOHELP.EXE

MSOHTMED.EXE

MSTORDB.EXE

MSTORE.EXE

NeoRAGExB.exe

NFSHP2.exe

NMCOSrv.exe

NMService.exe

O2Jam.exe

O2JamPatchClient.exe

O2JamRun.exe

Online.exe

OTwo.exe

patch.exe

Patcher.exe

Play.exe

POKEMON.exe

POWERPNT.EXE

PPTVIEW.EXE

PreBoOnline.exe

PROFLWIZ.EXE

PROJECT1.exe

PServer.exe

PTCpatch.exe

QQ.exe

QQBattleZone.exe

QQexternal.exe

QQLiveUpdate.exe

QQMusic.exe

QQPet.exe

QQPetDazzle.exe

QZoneSupport.exe

ra2.exe

ra21006ch.exe

ra3.exe

ra4.exe

REGISTER.exe

Repair.exe

SBuddyCall.exe

SCIONVI.exe

SCTRAINE.exe

sdoupdate.exe

settings.exe

SetupReg.exe

SNDAFW.exe

STAR107.exe

STAR108.exe

Star109.exe

star110.exe

STARC&C.exe

StarCraft.exe

Starcraft110.exe

StarDraft.exe

STAREDIT.exe

STORMING.exe

Tantra.exe

TantraCrashSender.exe

TIMPlatform.exe

Timwp.exe

trainer.exe

uninstall.exe

UNWISE.exe

Update.exe

Update.exe

Update.exe Tantra.exe

War3.exe

WAR3TC.exe

War3TFT_115_Chinese_Simp.exe

Warcraft III.exe

WAVTOASF.EXE

WE8.exe

winInetWin.exe

WINWORD.EXE

World Editor.exe

worldedit.exe

WoW.exe

XY.exe

XY1Update.exe

xy2-75.exe

XY2.exe

XY2EXP5.exe

XY2EXP6.exe

XY2EXP7.exe

XY2EXP8.exe

XY2EXP9.exe

xy2player.exe

XY2Update.exe

XYMusic.exe

XYUpdate.exe

yassist.exe

ZERO.exe

Looked.FU在它感染的相同目录中放置一个名为_desktop.ini的文件，这个文件包含被感染文件的信息。

危害

终止进程

Looked.FU监控以下正在运行的进程，如果发现就会终止这些进程：

ravmon.exe

Ravtask.exe

Ravmon.exe

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

RavmonD.exe

TrojDie.kxp

FrogAgent.exe

Rundll32.exe

system32\\drivers\\spoclsv.exe

下载并运行任意文件

Looked.FU周期性的从mm.21380 .com 下载一个文件，并将它保存到 %Windows%\\SYSTEM32.tmp。这个文件包含一个URL的列表编码，这些URL用来下载文件。下载的文件保存到%Windows%目录，使用它们在下载的服务器上使用的相同的文件名，随后运行它们。

同时下载的9个文件，包括Mirtang，Lemir 和 Ditul families病毒变体。

清除

KILL安全胄甲Vet 30.4.3378 版本可检测/清除此病毒。