Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:W32/Viking.BD
Descoperit pe data de:04/03/2007
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu spre ridicat
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:34.158 Bytes
Versiune IVDF:6.37.01.191 - duminică, 4 martie 2007

 General Metode de raspandire:
    Infecteaza fisiere
   • Reteaua locala


Alias:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Detectii similare:
     W32/Viking.BD.Upk


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
Infecteaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\$$a5.tmp

%toate directoarele%\_desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%TEMPDIR%\$$a5.bat Fisierul este executat dupa ce a fost creat. Fisierul batch este folosit pentru stergerea unui fisier.
%WINDIR%\Dll.dl Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/ATRAPS.Gen

%fisier executat% Fisierul este executat dupa ce a fost creat. Aceasta este versiunea originala a fisierului inainte de infectie.



Incearca sa descarce cateva fisiere:

Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


Adresa este urmatoarea:
   • www.hffw35133.comhfyxw/**********


Adresa este urmatoarea:
   • 222.77.178.218/xz/**********

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



Se adauga in registrii sistemului:

[HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infectie de fisiere Tip de infector:

Prepender - Codul virusului este adaugat la inceputul fisierului infectat.


Camuflaj:
Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Metoda:

Virusul ramane activ in memorie in timp ce infecteaza fisiere.


Dimensiunea codului malitios adaugat:

Aproximativ 34.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%
   • %directoare partajate din retea%

 Terminarea proceselor  Urmatorul serviciu este dezactivat:
   • Kingsoft AntiVirus Service

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Delphi.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • Upack 0.24

Description inserted by Daniel Constantin on Thursday, February 11, 2010
Description updated by Andrei Ivanes on Thursday, February 11, 2010

Back . . . .