¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Viking.BD
Descubierto:04/03/2007
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:34.158 Bytes
Versión del IVDF:6.37.01.191 - domingo, 4 de marzo de 2007

 General Métodos de propagación:
   • Infects files (es)
   • Red local


Alias:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Detección similar:
   •  W32/Viking.BD.Upk


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta un fichero dañino
   • Infects files (es)
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\$$a5.tmp

%todas las carpetas%\_desktop.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %fecha actual%

%TEMPDIR%\$$a5.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\Dll.dl Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/ATRAPS.Gen

%ficheros ejecutados% Además, el fichero es ejecutado después de haber sido creado. This is the original version of the file before in (es)



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • www.hffw35133.comhfyxw/**********


– La dirección es la siguiente:
   • www.hffw35133.comhfyxw/**********


– La dirección es la siguiente:
   • www.hffw35133.comhfyxw/**********


– La dirección es la siguiente:
   • www.hffw35133.comhfyxw/**********


– La dirección es la siguiente:
   • 222.77.178.218/xz/**********

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



Añade la siguiente clave al registro:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infección de ficheros Infector type: (es)

Infector prepender (es)


Infector Stealth (es)
Infector stealth no (es)


Método:

Este virus queda activo en la memoria.


Infection Length (es)

Approximately (es) 34.000 Bytes


The following files are infected (P) (es)

By file type (es)
   • *.exe

Files in the following directories (es)
   • %todas las carpetas%
   • %Directorio de redes utilizado comunmente%

 Finalización de los procesos  Desactiva el siguiente servicio:
   • Kingsoft AntiVirus Service

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Upack 0.24

Descripción insertada por Daniel Constantin el jueves, 11 de febrero de 2010
Descripción actualizada por Andrei Ivanes el jueves, 11 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.