Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Viking.E.2
Entdeckt am:14/07/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:30.105 Bytes
MD5 Prfsumme:f20C659f39f265927872ce524ba227fd
VDF Version:6.35.00.97
IVDF Version:6.35.00.121 - Mittwoch, 5. Juli 2006

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\rundl132.exe



Bereiche werden einer Datei hinzugefgt.
– An: %Laufwerk%\%zufllig ausgewhltes Verzeichnis%\*.exe Mit folgendem Inhalt:
   • %Malware DLL% - Worm/Viking.N

– An: %gemeinsam genutztes Netzwerkverzeichnis%\%zufllig ausgewhltes Verzeichnis%\*.exe Mit folgendem Inhalt:
   • %Malware DLL% - Worm/Viking.N




Es werden folgende Dateien erstellt:

%Laufwerk%\%zufllig ausgewhltes Verzeichnis%\_desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%gemeinsam genutztes Netzwerkverzeichnis%\%zufllig ausgewhltes Verzeichnis%\_desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%Verzeichnis in dem die Malware ausgefhrt wurde%\vDll.dll Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Viking.N




Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: C:\1.txt

Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\0Sy.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lineage.EM.5


Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\1Sy.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde.

Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\2Sy.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lmir.12.A.3


Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\3Sy.exe Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lineage.VD

 Registry Folgender Registryschlssel wird hinzugefgt:

[HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Alter Wert:
   • "load"=""
   Neuer Wert:
   • "load"="%WINDIR%\rundl132.exe"

 Injektion –  Es injiziert folgende Datei in einen Prozess: %Verzeichnis in dem die Malware ausgefhrt wurde%\vDll.dll

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Freitag, 14. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 3. August 2006

zurück . . . .