Nombre:W32/Viking.ND
Descubierto:29/07/2009
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:No
Tamaño:~24.000 Bytes
Versión del IVDF:7.01.05.43 - miércoles 29 de julio de 2009

 General Métodos de propagación:
   • Infects files (es)
   • Red local


Alias:
   •  Symantec: W32.Fujacks.CB
   •  Mcafee: W32/Fujacks.ay
   •  Kaspersky: Virus.Win32.Kate.a
   •  Sophos: W32/Newt-A
   •  Eset: Win32/Agent.DP
   •  Bitdefender: Win32.Viking.AL


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Infects files (es)
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\6to4.dll
   • %SYSDIR%\dllcache\6to4.dll
   • %SYSDIR%\dllcache\systembox.bak



Crea los siguientes ficheros:

%TEMPDIR%\TempDel.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%TEMPDIR%\tem81.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Viking.NA

%SYSDIR%\drivers\WmiSvc.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4]
   • "Type"=dword:00000020
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\6to4.dll
   • "DisplayName"="6to4"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
   • "ServiceDll"=%SYSDIR%\6to4.dll

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Enum]
   • "0"="Root\\LEGACY_6TO4\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc]
   • "Type"=dword:00000001
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\drivers\WmiSvc.sys
     "DisplayName"="WmiSvc"

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Enum]
   • "0"="Root\\LEGACY_WMISVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 Infección de ficheros Infector type: (es)

Appender (es)
Infector adds new section (es)


Infector Stealth (es)
 Infector stealth no (es)


Método:

Este virus queda activo en la memoria.


Infection Length (es)

Approximately (es) 24.000 Bytes


The following files are infected (P) (es)

By file type (es)
   • *.exe

Files in the following directories (es)
   • %todas las carpetas%

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta al siguiente servidor DNS:
   • www.dy2004.com

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX V2.00-V2.90

Descripción insertada por Daniel Constantin el miércoles 10 de febrero de 2010
Descripción actualizada por Daniel Constantin el miércoles 10 de febrero de 2010

Volver . . . .