Nume:Worm/Viking.E.2
Descoperit pe data de:14/07/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:30.105 Bytes
MD5:f20C659f39f265927872ce524ba227fd
Versiune VDF:6.35.00.97
Versiune IVDF:6.35.00.121 - Mittwoch, 5. Juli 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\rundl132.exe



O sectiune este adaugata fisierului.
– Catre: %unitate disc%\%director ales aleator%\*.exe Cu urmatorul continut:
   • %dll malware% - Worm/Viking.N

– Catre: %directoare partajate din retea%\%director ales aleator%\*.exe Cu urmatorul continut:
   • %dll malware% - Worm/Viking.N




Sunt create fisierele:

%unitate disc%\%director ales aleator%\_desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%directoare partajate din retea%\%director ales aleator%\_desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%directorul de activare malware%\vDll.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Viking.N




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: C:\1.txt

– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\0Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.EM.5


– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\1Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\2Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lmir.12.A.3


– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\3Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.VD

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Vechea valoare:
   • "load"=""
   Noua valoare:
   • "load"="%WINDIR%\rundl132.exe"

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %directorul de activare malware%\vDll.dll

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Monica Ghitun am Freitag, 14. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 3. August 2006

zurück . . . .