Looked.P

LOOKED.P destructivo gusano de redes con recursos compartidos y HTTP infecta archivos EXE dejándolos inutilizados, etc.

W32/Looked.P

Looked.P es un destructivo gusano reportado el 13 de Julio del 2006, que se propaga a través de Redes con recursos compartidos y estaciones de trabajo infecta archivos .EXE contenidos en las unidades de disco, desestabiliza el sistema, descarga un archivo vía HTTP.

Revisa todas las unidades de disco de la C:\ a la Y:\ e infecta los archivos .EXE dejándolos inoperativos.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++ con una extensión de 57KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

al ingresar a un sistema se copia a las siguientes rutas con los nombres:

%Windir%\rundl132.exe (copia del gusano)
%CurrentFolder%\vDll.dll (componente descargador)

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%CurrentFolder% es una variable que corresponde a la carpeta en uso.

El gusano verifica la existencia de la variable:

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto" = "1"

y crea un marcador de infecciones, en caso no hallarla. Caso contrario termina su proceso.

para activarse la próxima vez que se re-inicie el sistema crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%Windir%\rundl132.exe"

Al siguiente inicio del equipo, el gusano inserta su código vDll.dll, ya sea en el IEXPLORE.EXE o EXPLORER.EXE impidiendo el acceso a Internet y desestabilizando al sistema.

Su componente se conecta al portal de juegos wowchian.com (ubicado en Pekín-China) intentando descargar un archivo infectado.

como efecto destructivo el gusano revisa las unidades de disco de la C:\ a la Y:\ e infecta todos los archivos .EXE que encuentre, dejándolos inoperativos.

evitando infectar los archivos ejecutables contenidos en las carpetas:

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

Envía paquetes ICMP (Internet Control Message Protocol) con la cadena "Hello,World" a las direcciones IP del mismo rango que las de los sistemas infectados o a las siguientes direcciones:

192.168.0.30
192.168.8.1

en caso que los sistemas respondan al paquete ICMP, el gusano intentará abrir las carpetas de de sistemas con recursos compartidos que tengan el nombre de usuario "administrator" y la contraseña en blanco en los recursos ocultos:

\\ipc$
\\admin$

y se copiará a las mismas, propagándose a las demás carpetas con recursos compartidos y procederá a ejecutar sus rutinas de infección.

PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 13 de Julio del 2006 detectan y eliminan este gusano.