warcraft iii.exe - 網路之家

病毒名稱：蠕蟲病毒Win32.Looked.FU
其它名稱：Virus.Win32.Delf.aq (Kaspersky)
病毒屬性：蠕蟲病毒  危害性：中等危害  流行程度：中
具體介紹：
病毒特性：
Win32.Looked.FU是一個20,377 字節的蠕蟲，它通過感染文件和定期下載並運行任意文件進行傳播。


感染方式：
運行時，Win32.Looked.FU複製到%Windows%\ati3evx.exe，隨後運行一個新的副本。它使用一個批處理腳本刪除原始文件。它沒有運行任意感染文件的原始內容。

Looked.FU生成以下註冊表，以確保每次系統啟動時運行病毒：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\logo1_.exe  = "%Windows%\ati3evx.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\logo1_.exe  = "%Windows%\ati3evx.exe"

它週期性的重複生成這些鍵值。

註：%Windows%是一個可變路徑。病毒通過查詢操作系統來決定當前Windows文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt，windows95/98/me中默認的安裝路徑是C:\Windows，windowsXP中默認的安裝路徑是C:\Windows。


傳播方式 :
通過感染文件傳播
Looked.FU在硬盤的Z:/ 到 A:/ 驅動器循環搜索。它將autorun.inf 文件和pif.exe文件放到每個驅動器的根目錄下。

如果適合以下條件，"autorun.inf" 文件引起"pif.exe"文件運行：
文件複製後系統已經重啟；
用戶訪問「我的電腦」，雙擊被安裝文件的驅動器，或者在Windows 資源管理器或「我的電腦」任一個中在被安裝文件的驅動器點擊右鍵選擇「自動運行」；
在以下註冊表：
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
允許自動運行用於被安裝文件的驅動器類型。默認設置針對Windows XP 和早期的 Windows操作系統允許自動運行用於固定磁盤上（例如：C:\驅動器）。

Looked.FU生成一個文件列表用來感染，由上面提到的所有驅動器上以.exe.為擴展名的所有文件組成，忽略包含以下字符串的路徑名：
Recycled
System Volume Information

這個列表保存到%Windows%\SYSTEM32.vxd.dat，一旦列表上的文件都已經被感染，就會刪除這個文件。

Looked.FU通過預先將自己添加到文件來感染文件。它還會在文件的末端添加一條橫線。這個橫線用作一個標記，蠕蟲檢查這個標記以確保同一文件不會多次感染。生成的文件大小為20,382字節。

帶有以下名稱的文件不會被感染：
9you0005_cns.exe
9you0005_yassist.exe
AOE.exe
ARTantra.exe
AutoPatchII.exe
BackgroundDownloader.exe
BDLiveUpdate.exe
BLOOD.exe
BMate.exe
BNUPDATE.exe
Bo.exe
BoCompete.exe
BoOnline.exe
Brood war_Trn.exe
BROOD-C.exe
BugReport.exe
CA.exe
Changer.exe
ChatRoom.exe
Client.exe
clokspl.exe
cns.exe
CONNECT.exe
CoralQQ.exe
CoralQQ98.exe
CQQCfg.exe
CRACK.exe
Cs.exe
cstrike.exe
D2ExRun2.exe
EXCEL.EXE
Frozen Throne.exe
FSOnline.exe
game.exe
GAME2.exe
GAME3.exe
Game4.exe
Game_CRK.exe
GameRun.exe
Gamexp.exe
gpatch.exe  
GRAPH.EXE
Gundam.exe
h3blade.exe
h3bmaped.exe
h3camped.exe
h3ccmped.exe
h3maped.exe
HDMsgr.exe
HDRoom.exe
Heroes3.exe
HTLauncher.exe
HTLauncher.exe   
INSTCC.exe
JXOnline.exe
key.exe
keygen.exe  
Launcher.exe
LOADER.exe
lod_109b.exe
MagicBook.exe
MagicFlash.exe
Mph.exe
mplaynow.exe
MPQ.exe
mpq2k.exe
MSOHELP.EXE
MSOHTMED.EXE
MSTORDB.EXE
MSTORE.EXE
NeoRAGExB.exe
NFSHP2.exe
NMCOSrv.exe
NMService.exe  
O2Jam.exe
O2JamPatchClient.exe
O2JamRun.exe
Online.exe
OTwo.exe
patch.exe
Patcher.exe
Play.exe
POKEMON.exe
POWERPNT.EXE
PPTVIEW.EXE
PreBoOnline.exe
PROFLWIZ.EXE
PROJECT1.exe
PServer.exe
PTCpatch.exe
QQ.exe
QQBattleZone.exe  
QQexternal.exe
QQLiveUpdate.exe
QQMusic.exe
QQPet.exe
QQPetDazzle.exe
QZoneSupport.exe
ra2.exe
ra21006ch.exe
ra3.exe
ra4.exe
REGISTER.exe  
Repair.exe  
SBuddyCall.exe
SCIONVI.exe
SCTRAINE.exe
sdoupdate.exe
settings.exe
SetupReg.exe
SNDAFW.exe
STAR107.exe
STAR108.exe
Star109.exe
star110.exe
STARC&C.exe
StarCraft.exe
Starcraft110.exe
StarDraft.exe
STAREDIT.exe
STORMING.exe
Tantra.exe
TantraCrashSender.exe
TIMPlatform.exe
Timwp.exe
trainer.exe
uninstall.exe
UNWISE.exe
Update.exe
Update.exe  
Update.exe Tantra.exe
War3.exe
WAR3TC.exe
War3TFT_115_Chinese_Simp.exe
Warcraft III.exe
WAVTOASF.EXE
WE8.exe
winInetWin.exe
WINWORD.EXE
World Editor.exe
worldedit.exe  
WoW.exe  
XY.exe
XY1Update.exe
xy2-75.exe
XY2.exe
XY2EXP5.exe
XY2EXP6.exe
XY2EXP7.exe
XY2EXP8.exe
XY2EXP9.exe  
xy2player.exe
XY2Update.exe
XYMusic.exe
XYUpdate.exe
yassist.exe
ZERO.exe

Looked.FU在它感染的相同目錄中放置一個名為_desktop.ini的文件，這個文件包含被感染文件的信息。


危害
終止進程
Looked.FU監控以下正在運行的進程，如果發現就會終止這些進程：
ravmon.exe
Ravtask.exe
Ravmon.exe
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
RavmonD.exe
TrojDie.kxp
FrogAgent.exe
Rundll32.exe
system32\drivers\spoclsv.exe


下載並運行任意文件
Looked.FU週期性的從mm.21380.com 下載一個文件，並將它保存到 %Windows%\SYSTEM32.tmp。這個文件包含一個URL的列表編碼，這些URL用來下載文件。下載的文件保存到%Windows%目錄，使用它們在下載的服務器上使用的相同的文件名，隨後運行它們。

同時下載的9個文件，包括Mirtang，Lemir 和 Ditul families病毒變體。

清除：
KILL安全胄甲Vet 30.4.3378 版本可檢測/清除此病毒。