远端旧版文件问题

远端旧版文件(Remote Downlevel Document)问题是一个发生于微软Windows系列操作系统的一个保安问题。问题与一款名为“Looked”及其变种的蠕虫有关。

感染过程LookedLooked于2004年12月17日被发现。根据赛门铁克的报告，当病毒被执行时，会发生下列的各项事情：

立即把ZoneAlarm防火墙并下列执行中的程式关掉：

Ravmon.exe

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

在受病毒感染的档案所在位置生成 virDll.dll

把病毒档 virDll.dll 尝试注入Internet Explorer。

从 www.lookde5.com 下载一个名为“1.exe”的档案。这个档案其实是用来盗取宿主上寄存的密码。

从 C Drive 开始搜索所有硬盘内的执行档，并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列，详见赛门铁克的网页)

Looked.PLooked.P于2006年7月被发现。根据赛门铁克的报告，当病毒被执行时，会发生下列的各项事情：

把自己复制到Windows的系统目录(即位于%Windir% 的目录)

把病毒 vDll.dll 下载到所在的目录 (比较原版的 virDll.dll)

检查机码HKLM\SOFTWARE\Soft\DownloadWWW 是否存在，若有的话，再检查"auto"值的资料是否为"1"。

若以上三个状况都成立，病毒会结束；否则的话，就会在宿主建立上述机码。

在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 这机码加上 "load" = "%Windir%\rundl132.exe" 的字串值，好让系统在重新启动时，会把病毒载入系统内。

尝试关闭 Kingsoft AntiVirus Service 的运作。

与病毒的原版一样把 vDll.dll 尝试注入Internet Explorer，但新版亦会同时注入Explorer内。

从 C Drive 开始搜索所有硬盘内的执行档，并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列，详见赛门铁克的网页)

其他可能W32.HLLW.Gaobot：打印出来的不是日期，而是乱码。

解决办法把局域网内没有连接打印机的电脑的Printer Spooler功能停止。

把print server的netbeui关掉，用tcp/ip打印。

在最坏情况，可能要把所有受感染的电脑重灌。

软件更新问题一般用户及公司过去只有留意有没有更新病毒定义档，而并未有花钱在更新软件之上。而在香港，有不少学校亦碍于经费问题，在软件购置时态度非常审慎。碰巧这一系列病毒在较旧的扫毒软件未能侦测、或可以侦测但不能清除，使扫毒软件无形中不能发挥应有的功效。

与病毒无关的问题可能这个问题最初其实的确是打印系统的问题。这个问题的发生有几个可能：

因为有外间用户透过IP地址传送打印伫列的内容

打印机的驱动程式过时

局域网内采用了过时版本的samba服务器而产生。

但在近年因为病毒问题影响下，这些问题的可能有机会被忽略。1

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所