Looked.BK

LOOKED.BK destructivo troyano de redes con recursos compartidos infecta el IE y archivos EXE dejándolos inoperativos, etc.

Troj/Looked.BK, W32/Looked-BA

Looked.BK es un destructivo troyano/backdoor reportado el 29 de Noviembre del 2006 que ingresa a los servidores con recursos compartidos, configurados con contraseñas débiles, a estaciones de trabajo o PC domésticas a través de diversos servicios de Internet.

Es además un "dropper" que libera diversos archivos, infecta el Internet Explorer y el Explorer.exe, termina el proceso de un popular antivirus de origen chino, en caso encontrarlo instalado.

Infecta los archivos .EXE de las unidades de disco de la C:\ a la Y:\ evitando hacerlo a aquellos con determinados nombres.

Haciendo uso de la técnica de la fuerza bruta, intenta ingresar a las redes con recursos compartidos, como Administrador.

Es un PE (Portable Ejecutable) infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 55KB, está compilado pero no encriptado.

Al ser ejecutado copia los siguientes archivos a las rutas:

%Windir%\uninstall\rundl132.exe
%Windir%\Logo1_.exe

libera además el archivo RichDll.dll en el directorio %Windir% y para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load" = "%Windir%\uninstall\rundl132.exe"

Verifica la existencia de la siguiente llave y de hallarla termina sus rutinas:

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
Auto = "1"

En caso que este registro no exista, se creará y será convertido en un marcador de infecciones.

Libera además los siguientes archivos:

%UserProfile%\Local Settings\Temp\$$a5.bat
%UserProfile%\Local Settings\Temp\$$ab.bat

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

El archivo RichDll.dll es insertado en el proceso del Iexplorer.exe y monitoreará las acciones en el navegador del usuario con el sistema infectado devolviendo esa información al servidor del autor. Tambien insertará este .dll en el Exlorer.exe

Al siguiente inicio del equipo, el troyano termina los siguientes procesos de seguridad:

RavMon.exe
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe

En caso de hallarlo instalado, detiene el servicio del antivirus Kingsoft, producido en la China:

http://www.kingsoft.com/en/akabu.htm

Rastrea en forma aleatoria las redes con recursos compartidos configuradas con contraseñas débiles, utilizando el método de la "fuerza bruta" para intentar ingresar como Administrador.

Simultáneamente envía paquetes ICMP (Protocolo de Control de Mensajes de Internet), con el mensaje "Hello,World".

En forma periódica baja el volumen de sonido del parlante a nivel "cero", ubica una clase de Windows de nombre "AVP.AlertDialog", inserta el botón de diálogo "Allow" o "Skip" en idioma chino en la caja de diálogo y reinicia el volumen del parlante.

Revisa las unidades desde la C:\ hasta la Y:\ y agrega su código viral a todos los archivos .EXE agregándoles 55 KB y dejándolos inoperativos. Sin embargo evita infectar a aquellos que contengan los siguientes nombres:

Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Movie Maker
MSN Gaming Zone
system
system32
winnt
windows
Recycled
Documents and Settings
System Volume Information
_desktop.ini
Windows NT
\Program Files\
WindowsUpdate
Windows Media Player
Outlook Express
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage

El troyano copia el archivo _DESKTOP.INI en cada carpeta que revisa exitosamente y donde almacenará la fecha de infección.

PER ANTIVIRUS® versión 9.9 con registro de virus al 29 de Noviembre del 2006 detecta y elimina este troyano.