Name:W32/Viking.BD.Upk
Entdeckt am:26/07/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:34.158 Bytes
IVDF Version:6.39.00.189 - Donnerstag, 26. Juli 2007

 General Verbreitungsmethoden:
   • Infiziert Dateien
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Ähnliche Erkennung:
   •  W32/Viking.BD


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\$$a5.tmp

%alle Verzeichnisse%\_desktop.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %aktuelles Datum%

%TEMPDIR%\$$a5.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%WINDIR%\Dll.dl Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/ATRAPS.Gen

%ausgeführte Datei% Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Dies ist die originale Dateiversion vor der Infektion.



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


– Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


– Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


– Die URL ist folgende:
   • www.hffw35133.comhfyxw/**********


– Die URL ist folgende:
   • 222.77.178.218/xz/**********

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Dateiinfektion Art des Infektors:

Prepender - Der virulente Code wird vor den Anfang der infizierten Datei angefügt.


Stealth - Verschleierung:
 Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 34.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%
   • %gemeinsam genutztes Netzwerkverzeichnis%

 Prozess Beendigung  Folgender Dienst wird beendet:
   • Kingsoft AntiVirus Service

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 11. Februar 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 11. Februar 2010

zurück . . . .