遠端舊版文件問題

遠端舊版文件(Remote Downlevel Document)問題是一個發生於微軟Windows系列作業系統的一個保安問題。問題與一款名為「Looked」及其變種的蠕蟲有關。

不詳

Looked於2004年12月17日被發現。根據賽門鐵克的報告^[1]，當病毒被執行時，會發生下列的各項事情：

1. 立即把ZoneAlarm防火牆並下列執行中的程式關掉：
   1. Ravmon.exe
   2. EGHOST.EXE
   3. MAILMON.EXE
   4. KAVPFW.EXE
   5. IPARMOR.EXE
2. 在受病毒感染的檔案所在位置生成 virDll.dll
3. 把病毒檔 virDll.dll 嘗試注入Internet Explorer。
4. 從 www.lookde5.com 下載一個名為「1.exe」的檔案。這個檔案其實是用來盜取宿主上寄存的密碼。
5. 從 C Drive 開始搜索所有硬碟內的執行檔，並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列，詳見賽門鐵克的網頁)

Looked.P於2006年7月被發現。根據賽門鐵克的報告^[2]，當病毒被執行時，會發生下列的各項事情：

1. 把自己複製到Windows的系統目錄(即位於 %Windir% 的目錄)
2. 把病毒 vDll.dll 下載到所在的目錄 (比較原版的 virDll.dll)
3. 檢查機碼 HKLM\SOFTWARE\Soft\DownloadWWW 是否存在，若有的話，再檢查"auto"值的資料是否為"1"。
4. 若以上三個狀況都成立，病毒會結束；否則的話，就會在宿主建立上述機碼。
5. 在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 這機碼加上 "load" = "%Windir%\rundl132.exe" 的字串值，好讓系統在重新啟動時，會把病毒載入系統內。
6. 嘗試關閉 Kingsoft AntiVirus Service 的運作。
7. 與病毒的原版一樣把 vDll.dll 嘗試注入Internet Explorer，但新版亦會同時注入Explorer內。
8. 從 C Drive 開始搜索所有硬碟內的執行檔，並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列，詳見賽門鐵克的網頁)

• W32.HLLW.Gaobot：打印出來的不是日期，而是亂碼^[3]。

• 把局域網內沒有連接打印機的電腦的Printer Spooler功能停止。
• 把print server的netbeui關掉，用tcp/ip打印。
• 在最壞情況，可能要把所有受感染的電腦重灌。

• 一般用戶及公司過去只有留意有沒有更新病毒定義檔，而並未有花錢在更新軟件之上。而在香港，有不少學校亦礙於經費問題，在軟件購置時態度非常審慎。碰巧這一系列病毒在較舊的掃毒軟件未能偵測、或可以偵測但不能清除^[4]，使掃毒軟件無形中不能發揮應有的功效。

這個問題最初其實的確是打印系統的問題。這個問題的發生有幾個可能：

1. 因為有外間用戶透過IP位址傳送打印佇列的內容
2. 打印機的驅動程式過時
3. 局域網內採用了過時版本的samba伺服器而產生

^[5][6]。

但在近年因為病毒問題影響下，這些問題的可能有機會被忽略。

1. ^ 賽門鐵克 > Security Response > W32.Looked. [2006-09-23]. （原始內容存檔於2015-10-26）. 
2. ^ 賽門鐵克 > Security Response > W32.Looked.P. [2006-09-23]. （原始內容存檔於2016-03-06）. 
3. ^ 順子學園 ＞ 電腦資訊學系 >病毒追追追 > 《注意》『遠端舊版文件』攻擊打印機^{[永久失效連結]}
4. ^ PALMisLIFE 討論區 » 網路相關討論 » 〔求助〕區域網路新病毒？？. [2006-09-23]. （原始內容存檔於2005-12-01）. 
5. ^ OIKOS生活網討論區首頁 » Mac OS X » Windows共享打印機打印檔案名稱為『遠端舊版文件』？ 互聯網檔案館的存檔，存檔日期2007-03-11.
6. ^ webservertalk.com > Archive > Linux Miscelleneous > November 2004 > Printer Status with Samba. [2006-09-23]. （原始內容存檔於2007-09-29）. 

• 　藍色小舖：網絡安全討論版：打印機伺服器的錯誤---遠端舊版文件 （頁面存檔備份，存於互聯網檔案館）