Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Viking.BD.Upk
Entdeckt am:26/07/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigre:34.158 Bytes
IVDF Version:6.39.00.189 - Donnerstag, 26. Juli 2007

 General Verbreitungsmethoden:
    Infiziert Dateien
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

hnliche Erkennung:
     W32/Viking.BD


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt eine potentiell gefhrliche Datei
Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %TEMPDIR%\$$a5.tmp

%alle Verzeichnisse%\_desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%TEMPDIR%\$$a5.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.
%WINDIR%\Dll.dl Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/ATRAPS.Gen

%ausgefhrte Datei% Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Dies ist die originale Dateiversion vor der Infektion.



Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


Die URL ist folgende:
   • 222.77.178.218/xz/**********

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Dateiinfektion Art des Infektors:

Prepender - Der virulente Code wird vor den Anfang der infizierten Datei angefgt.


Stealth - Verschleierung:
Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslnge:

etwa 34.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%
   • %gemeinsam genutztes Netzwerkverzeichnis%

 Prozess Beendigung  Folgender Dienst wird beendet:
   • Kingsoft AntiVirus Service

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 11. Februar 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 11. Februar 2010

zurück . . . .