Name:Worm/Viking.N
Entdeckt am:17/07/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:23.552 Bytes
MD5 Prüfsumme:98213641aaca1e7fa88a4ea77a2975ef
VDF Version:6.35.00.123
IVDF Version:6.35.00.151 - Mittwoch, 12. Juli 2006

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: C:\1.txt

– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\0Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lineage.EM.5


– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\1Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\2Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lmir.12.A.3


– Die URL ist folgende:
   • http://www.wowchian.com/sysdl/**********
Diese wird lokal gespeichert unter: %Verzeichnis in dem die Malware ausgeführt wurde%\3Sy.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/PSW.Lineage.VD

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows]
   • "ver_down0"="%Nummer%.%Nummer%"
   • "ver_down1"="%Nummer%.%Nummer%"
   • "ver_down2"="%Nummer%.%Nummer%"
   • "ver_down3"="%Nummer%.%Nummer%"

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 17. Juli 2006
Die Beschreibung wurde geändert von Monica Ghitun am Donnerstag, 3. August 2006

zurück . . . .