Nume:W32/Viking.EM
Descoperit pe data de:15/06/2007
Tip:File Infector
ITW:Nu
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:64.063 Bytes
Versiune IVDF:6.39.00.22 - Freitag, 15. Juni 2007

 General Metode de raspandire:
   • Infecteaza fisiere
   • Reteaua locala


Alias:
   •  Symantec: W32.Looked.O
   •  Mcafee: W32/HLLP.Philis.ei
   •  Kaspersky: Worm.Win32.Viking.em
   •  Sophos: W32/Looked-EA
   •  VirusBuster: Win32.HLLP.Viking.IZ
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.EM


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Infecteaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\$$a5.tmp

– %TEMPDIR%\$$a5.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\RichDll.dl Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: W32/Viking.EM.dll

%fisier executat% Fisierul este executat dupa ce a fost creat. Aceasta este versiunea originala a fisierului inainte de infectie.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********


– Adresa este urmatoarea:
   • down.down988.cn/**********

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



Se adauga in registrii sistemului:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infectie de fisiere Tip de infector:

Prepender - Codul virusului este adaugat la inceputul fisierului infectat.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Metoda:

Virusul ramane activ in memorie in timp ce infecteaza fisiere.


Dimensiunea codului malitios adaugat:

Aproximativ 64.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%
   • %directoare partajate din retea%

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • Kingsoft AntiVirus Service

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • PolyEnE 0.01+

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 11. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Donnerstag, 11. Februar 2010

zurück . . . .