Nume:W32/Viking.ND
Descoperit pe data de:29/07/2009
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu spre ridicat
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~24.000 Bytes
Versiune IVDF:7.01.05.43 - Mittwoch, 29. Juli 2009

 General Metode de raspandire:
   • Infecteaza fisiere
   • Reteaua locala


Alias:
   •  Symantec: W32.Fujacks.CB
   •  Mcafee: W32/Fujacks.ay
   •  Kaspersky: Virus.Win32.Kate.a
   •  Sophos: W32/Newt-A
   •  Eset: Win32/Agent.DP
   •  Bitdefender: Win32.Viking.AL


Sistem de operare:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Infecteaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\6to4.dll
   • %SYSDIR%\dllcache\6to4.dll
   • %SYSDIR%\dllcache\systembox.bak



Sunt create fisierele:

– %TEMPDIR%\TempDel.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %TEMPDIR%\tem81.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Viking.NA

– %SYSDIR%\drivers\WmiSvc.sys Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Rootkit.Gen

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciile la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4]
   • "Type"=dword:00000020
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\6to4.dll
   • "DisplayName"="6to4"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
   • "ServiceDll"=%SYSDIR%\6to4.dll

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Enum]
   • "0"="Root\\LEGACY_6TO4\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc]
   • "Type"=dword:00000001
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\drivers\WmiSvc.sys
     "DisplayName"="WmiSvc"

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Security]
   • "Security"=%valori hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Enum]
   • "0"="Root\\LEGACY_WMISVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
Virusul adauga o noua sectiune in header-ul PE.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Metoda:

Virusul ramane activ in memorie in timp ce infecteaza fisiere.


Dimensiunea codului malitios adaugat:

Aproximativ 24.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%

 Alte informatii Conexiune internet:
Pentru a verifica legatura la internet se conecteaza la urmatorul server DNS:
   • www.dy2004.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX V2.00-V2.90

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 10. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 10. Februar 2010

zurück . . . .