Nombre:W32/Viking.B
Descubierto:30/05/2007
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:72.100 Bytes
Versión del IVDF:6.38.01.205 - miércoles 30 de mayo de 2007

 General Métodos de propagación:
   • Infects files (es)
   • Red local


Alias:
   •  Symantec: W32.Looked.BK
   •  Mcafee: W32/HLLP.Philis.kc
   •  Kaspersky: Worm.Win32.Viking.lf
   •  Sophos: W32/Looked-DE
   •  VirusBuster: Win32.HLLP.Viking.JD
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.NCI


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta un fichero dañino
   • Infects files (es)
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\RichDll.dl Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Viking.B

%ficheros ejecutados% Además, el fichero es ejecutado después de haber sido creado. This is the original version of the file before in (es)



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********


– La dirección es la siguiente:
   • www.08325.cn/**********

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



Añade la siguiente clave al registro:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infección de ficheros Infector type: (es)

Infector prepender (es)


Infector Stealth (es)
 Infector stealth no (es)


Método:

Este virus queda activo en la memoria.


Infection Length (es)

Approximately (es) 72.000 Bytes


The following files are infected (P) (es)

By file type (es)
   • *.exe

Files in the following directories (es)
   • %todas las carpetas%
   • %Directorio de redes utilizado comunmente%

 Finalización de los procesos  Desactiva el siguiente servicio:
   • Kingsoft AntiVirus Service

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • VIRUS_ASMAPING_XZASDWRTTYEEWD82473M

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PolyEnE 0.01+

Descripción insertada por Daniel Constantin el jueves 11 de febrero de 2010
Descripción actualizada por Daniel Constantin el jueves 11 de febrero de 2010

Volver . . . .