Name:W32/Viking.B
Entdeckt am:30/05/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel bis hoch
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:72.100 Bytes
IVDF Version:6.38.01.205 - Mittwoch, 30. Mai 2007

 General Verbreitungsmethoden:
   • Infiziert Dateien
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Looked.BK
   •  Mcafee: W32/HLLP.Philis.kc
   •  Kaspersky: Worm.Win32.Viking.lf
   •  Sophos: W32/Looked-DE
   •  VirusBuster: Win32.HLLP.Viking.JD
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.NCI


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.
%WINDIR%\RichDll.dl Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Viking.B

%ausgeführte Datei% Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. This is the original version of the file before in (de)



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********


– Die URL ist folgende:
   • www.08325.cn/**********

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Dateiinfektion Art des Infektors:

Prepender - Der virulente Code wird vor den Anfang der infizierten Datei angefügt.


Stealth - Verschleierung:
 Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 72.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%
   • %gemeinsam genutztes Netzwerkverzeichnis%

 Prozess Beendigung  Folgender Dienst wird beendet:
   • Kingsoft AntiVirus Service

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • VIRUS_ASMAPING_XZASDWRTTYEEWD82473M

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Delphi geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • PolyEnE 0.01+

Die Beschreibung wurde erstellt von Daniel Constantin am Donnerstag, 11. Februar 2010
Die Beschreibung wurde geändert von Daniel Constantin am Donnerstag, 11. Februar 2010

zurück . . . .