Nombre:Worm/Viking.E.2
Descubierto:14/07/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:30.105 Bytes
Suma de control MD5:f20C659f39f265927872ce524ba227fd
Versión del VDF:6.35.00.97
Versión del IVDF:6.35.00.121 - miércoles 5 de julio de 2006

 General Método de propagación:
   • Red local


Alias:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\rundl132.exe



Añade una sección al fichero.
– Para: %disquetera%\%directorio escogido de forma aleatoria%\*.exe Con el siguiente contenido:
   • %fichero dll viral% - Worm/Viking.N

– Para: %Directorio de redes utilizado comunmente%\%directorio escogido de forma aleatoria%\*.exe Con el siguiente contenido:
   • %fichero dll viral% - Worm/Viking.N




Crea los siguientes ficheros:

%disquetera%\%directorio escogido de forma aleatoria%\_desktop.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %fecha actual%

%Directorio de redes utilizado comunmente%\%directorio escogido de forma aleatoria%\_desktop.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %fecha actual%

%directorio donde se ejecuta el programa viral%\vDll.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Viking.N




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.wowchian.com/sysdl/**********
El fichero está guardado en el disco duro en: C:\1.txt

– La dirección es la siguiente:
   • http://www.wowchian.com/sysdl/**********
El fichero está guardado en el disco duro en: %WINDIR%\0Sy.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Lineage.EM.5


– La dirección es la siguiente:
   • http://www.wowchian.com/sysdl/**********
El fichero está guardado en el disco duro en: %WINDIR%\1Sy.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
   • http://www.wowchian.com/sysdl/**********
El fichero está guardado en el disco duro en: %WINDIR%\2Sy.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Lmir.12.A.3


– La dirección es la siguiente:
   • http://www.wowchian.com/sysdl/**********
El fichero está guardado en el disco duro en: %WINDIR%\3Sy.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Lineage.VD

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=""
   Nuevo valor:
   • "load"="%WINDIR%\rundl132.exe"

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %directorio donde se ejecuta el programa viral%\vDll.dll

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el viernes 14 de julio de 2006
Descripción actualizada por Monica Ghitun el jueves 3 de agosto de 2006

Volver . . . .