Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Viking.B
Entdeckt am:30/05/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigre:72.100 Bytes
IVDF Version:6.38.01.205 - Mittwoch, 30. Mai 2007

 General Verbreitungsmethoden:
    Infiziert Dateien
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Looked.BK
   •  Mcafee: W32/HLLP.Philis.kc
   •  Kaspersky: Worm.Win32.Viking.lf
   •  Sophos: W32/Looked-DE
   •  VirusBuster: Win32.HLLP.Viking.JD
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.NCI


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt schdliche Dateien herunter
   • Erstellt eine potentiell gefhrliche Datei
Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu lschen.
%WINDIR%\RichDll.dl Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Viking.B

%ausgefhrte Datei% Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. This is the original version of the file before in (de)



Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********


Die URL ist folgende:
   • www.08325.cn/**********

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



Folgender Registryschlssel wird hinzugefgt:

[HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Dateiinfektion Art des Infektors:

Prepender - Der virulente Code wird vor den Anfang der infizierten Datei angefgt.


Stealth - Verschleierung:
Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslnge:

etwa 72.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%
   • %gemeinsam genutztes Netzwerkverzeichnis%

 Prozess Beendigung  Folgender Dienst wird beendet:
   • Kingsoft AntiVirus Service

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • VIRUS_ASMAPING_XZASDWRTTYEEWD82473M

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PolyEnE 0.01+

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 11. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Donnerstag, 11. Februar 2010

zurück . . . .