이름 : W32/Looked-EJ
다른 이름 :
(1) Worm.Win32.Viking.mh
(2) W32/HLLP.Philis.az
(3) PE_LOOKED.XV
구분 : 바이러스/스파이웨어
종류 : 바이러스
전파방법 :
(1) 네트워크 공유
(2) 감염된 파일
영향받는 운영체제 : 윈도우
영향 : 레지스트리에 자신을 설치한다.

W32/Looked-EJ는 윈도우 기반 백도어 기능을 가진 바이러스이며 네트워크 웜이다.

W32/Looked-EJ는 원격 침입자로 하여금 컴퓨터를 접근하고 제어하도록하는 백도어 서버에서 연속적으로 동작한다.

W32/Looked-EJ는 HTTP를 통해 원격 서버와 통신하고 인터넷에 접속하는 기능을 포함한다.

W32/Looked-EJ가 설치되면 아래의 파일들이 생성된다.

<Windows>\Dll.dll
<Windows>\Logo1_.exe
<Windows>\rundl132.exe

Dll.dll는 Mal/Lookdll-A와 Logo1_.exe로 발견되며 W32/Looked-EJ도 Mal/Behav-085로 발견된다.

W32/Looked-EJ는 감염된 컴퓨터 상에서 여러 폴더 내에 "_desktop.ini"라는 이름을 가진 많은 파일을 생성한다. 이러한 파일들은 무해한 텍스트 파일이며 삭제 가능하다.

rundl132.exe를 동작시키기 위해 아래의 레지스트리가 생성된다.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
load
<Windows>\rundl132.exe

레지스트리는 아래와 같이 생성된다.

HKLM\SOFTWARE\Soft\DownloadWWW