Looked.F

LOOKED.F destructivo gusano de redes con recursos compartidos infecta archivos .EXE termina procesos, etc.

W32/Looked.F, I-worm.Looked.F

Looked.F es un destructivo gusano residente en memoria, reportado el 19 de Septiembre del 2005, que se propaga a través de Redes con recursos compartidos y estaciones de trabajo configuradas con el nombre de usuario "administrator" y la contraseña en blanco.

Termina varios procesos. Revisa todas las unidades de disco de la C:\ a la Y:\ e infecta los archivos .EXE dejándolos inoperativos.

Inserta su código en uno de los archivos IEXPLORE.EXE o EXPLORER.EXE impidiendo el acceso a Internet asi como también desestabilizando al sistema.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ con una extensión de 58.5 y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema se copia al directorio %Windir% como Logo_1.exe y al directorio raíz como virDll.dll y verifica la presencia de la siguiente entrada de llave de registro:

HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW\"auto" = "1"

de no hallarla, el gusano busca los archivos y cierra las ventanas de los siguientes procesos asociados a software de seguridad:

Window title: RavMon.exe
Window class name: RavMonClass
Window title: [nombre_aleatorio]
Window class name: TfLockDownMain
Window title: ZoneAlarm
Window class name: ZAFrameWnd

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente re-inicio el gusano termina los procesos:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE

revisa las unidades de disco buscando el archivo PasswordGuard.exe y cualquier otro cuyo nombre empiece con un caracter numérico entre "0" y "9" y termina sus procesos vinculados.

se inserta a sí mismo a los archivos IEXPLORE.EXE o EXPLORER.EXE impidiendo el acceso a Internet y a su vez desestabilizando la operatividad y seguridad del sistema.

Para marcar las infecciones crea la llave:

[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"

luego intenta descargar un archivo desde uno de dos URL pertenecientes al dominio huigezi.com o huigezi.org ubicados en la China (actualmente removidos de los sub-dominios).

como efecto destructivo el gusano revisa las unidades de disco de C:\ a Y:\ e infecta todos los archivos .EXE que encuentre, dejándolos inoperativos.

evitando infectar los archivos ejecutabes contenidos en las carpetas:

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

Envía paquetes ICMP (Internt Control Message Protocol) con la cadena "Hello,World" a las direcciones IP del mismo rango que las de los sistema infectados, además de las siguientes direcciones:

192.168.0.30
192.168.8.1

en caso que los sistemas respondan al paquete ICMP el gusano abrirá las carpetas de recursos compartidos que tengan el nombre de usuario "administrator" y la contraseña en blanco con los siguientes nombres:

\\ipc$
\\admin$

y se copiará a las mismas procediendo a ejecutar sus rutinas de infección.

PER ANTIVIRUS® versión 9.4 con registro de virus al 19 de Septiembre del 2005 detecta y elimina este gusano.