Nom:Worm/Viking.E.2
La date de la découverte:14/07/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:30.105 Octets
Somme de contrôle MD5:f20C659f39f265927872ce524ba227fd
Version VDF:6.35.00.97
Version IVDF:6.35.00.121 - mercredi 5 juillet 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %WINDIR%\rundl132.exe



Une section est ajoutée à un fichier.
– A: %lecteur%\%répertoire choisi de façon aléatoire%\*.exe Avec le contenu suivant:
   • %ficher dll viral% - Worm/Viking.N

– A: % liste du réseau utilisé en commun%\%répertoire choisi de façon aléatoire%\*.exe Avec le contenu suivant:
   • %ficher dll viral% - Worm/Viking.N




Les fichiers suivants sont créés:

%lecteur%\%répertoire choisi de façon aléatoire%\_desktop.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %la date courante%

% liste du réseau utilisé en commun%\%répertoire choisi de façon aléatoire%\_desktop.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %la date courante%

%le dossier d'exécution du malware%\vDll.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Viking.N




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://www.wowchian.com/sysdl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: C:\1.txt

– L'emplacement est le suivant:
   • http://www.wowchian.com/sysdl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\0Sy.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Lineage.EM.5


– L'emplacement est le suivant:
   • http://www.wowchian.com/sysdl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\1Sy.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé.

– L'emplacement est le suivant:
   • http://www.wowchian.com/sysdl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\2Sy.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Lmir.12.A.3


– L'emplacement est le suivant:
   • http://www.wowchian.com/sysdl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\3Sy.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/PSW.Lineage.VD

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   L'ancienne valeur:
   • "load"=""
   La nouvelle valeur:
   • "load"="%WINDIR%\rundl132.exe"

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %le dossier d'exécution du malware%\vDll.dll

    Nom du processus:
   • explorer.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Monica Ghitun le vendredi 14 juillet 2006
Description mise à jour par Monica Ghitun le jeudi 3 août 2006

Retour . . . .