Nume:Worm/Viking.E.2
Descoperit pe data de:14/07/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:30.105 Bytes
MD5:f20C659f39f265927872ce524ba227fd
Versiune VDF:6.35.00.97
Versiune IVDF:6.35.00.121 - mercredi 5 juillet 2006

 General Metoda de raspandire:
   • Reteaua locala


Alias:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %WINDIR%\rundl132.exe



O sectiune este adaugata fisierului.
– Catre: %unitate disc%\%director ales aleator%\*.exe Cu urmatorul continut:
   • %dll malware% - Worm/Viking.N

– Catre: %directoare partajate din retea%\%director ales aleator%\*.exe Cu urmatorul continut:
   • %dll malware% - Worm/Viking.N




Sunt create fisierele:

%unitate disc%\%director ales aleator%\_desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%directoare partajate din retea%\%director ales aleator%\_desktop.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %data curenta%

%directorul de activare malware%\vDll.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Viking.N




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: C:\1.txt

– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\0Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.EM.5


– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\1Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet.

– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\2Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lmir.12.A.3


– Adresa este urmatoarea:
   • http://www.wowchian.com/sysdl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\3Sy.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/PSW.Lineage.VD

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Vechea valoare:
   • "load"=""
   Noua valoare:
   • "load"="%WINDIR%\rundl132.exe"

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %directorul de activare malware%\vDll.dll

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Monica Ghitun le vendredi 14 juillet 2006
Description mise à jour par Monica Ghitun le jeudi 3 août 2006

Retour . . . .