Name:Worm/Viking.E.2
Entdeckt am:14/07/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:30.105 Bytes
MD5 Prüfsumme:f20C659f39f265927872ce524ba227fd
VDF Version:6.35.00.97
IVDF Version:6.35.00.121 - Mittwoch, 5. Juli 2006

 Allgemein Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\rundl132.exe



Bereiche werden einer Datei hinzugefügt.
– An: %Laufwerk%\%zufällig ausgewähltes Verzeichnis%\*.exe Mit folgendem Inhalt:
   • %Malware DLL% - Worm/Viking.N

– An: %gemeinsam genutztes Netzwerkverzeichnis%\%zufällig ausgewähltes Verzeichnis%\*.exe Mit folgendem Inhalt:
   • %Malware DLL% - Worm/Viking.N




Es werden folgende Dateien erstellt:

%Laufwerk%\%zufällig ausgewähltes Verzeichnis%\_desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%gemeinsam genutztes Netzwerkverzeichnis%\%zufällig ausgewähltes Verzeichnis%\_desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%Verzeichnis in dem die Malware ausgeführt wurde%\vDll.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Viking.N




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: C:\1.txt

– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\0Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lineage.EM.5


– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\1Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde.

– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\2Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lmir.12.A.3


– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %WINDIR%\3Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lineage.VD

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Alter Wert:
   • "load"=""
   Neuer Wert:
   • "load"="%WINDIR%\rundl132.exe"

 Injektion –  Es injiziert folgende Datei in einen Prozess: %Verzeichnis in dem die Malware ausgeführt wurde%\vDll.dll

    Prozessname:
   • explorer.exe


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Freitag, 14. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 3. August 2006

zurück . . . .