Nume:W32/Viking.BD.Upk
Descoperit pe data de:26/07/2007
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu spre ridicat
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:34.158 Bytes
Versiune IVDF:6.39.00.189 - Donnerstag, 26. Juli 2007

 General Metode de raspandire:
   • Infecteaza fisiere
   • Reteaua locala


Alias:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Detectii similare:
   •  W32/Viking.BD


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Infecteaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\$$a5.tmp

%toate directoarele%\_desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

– %TEMPDIR%\$$a5.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
– %WINDIR%\Dll.dl Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/ATRAPS.Gen

%fisier executat% Fisierul este executat dupa ce a fost creat. Aceasta este versiunea originala a fisierului inainte de infectie.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


– Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


– Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


– Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


– Adresa este urmatoarea:
   • 222.77.178.218/xz/**********

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



Se adauga in registrii sistemului:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infectie de fisiere Tip de infector:

Prepender - Codul virusului este adaugat la inceputul fisierului infectat.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Metoda:

Virusul ramane activ in memorie in timp ce infecteaza fisiere.


Dimensiunea codului malitios adaugat:

Aproximativ 34.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%
   • %directoare partajate din retea%

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • Kingsoft AntiVirus Service

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Delphi.

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 11. Februar 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Donnerstag, 11. Februar 2010

zurück . . . .