Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Viking.EM
La date de la dcouverte:15/06/2007
Type:Infecteur de fichier
En circulation:Non
Infections signales Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:64.063 Octets
Version IVDF:6.39.00.22 - vendredi 15 juin 2007

 Gnral Mthodes de propagation:
    Infects files (fr)
   • Le rseau local


Les alias:
   •  Symantec: W32.Looked.O
   •  Mcafee: W32/HLLP.Philis.ei
   •  Kaspersky: Worm.Win32.Viking.em
   •  Sophos: W32/Looked-EA
   •  VirusBuster: Win32.HLLP.Viking.IZ
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.EM


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers malveillants
   • Il cre un fichier malveillant
Infects files (fr)
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Il supprime sa propre copie, excute initialement



Les fichiers suivants sont crs:

– Un fichier qui est pour l'utilisation temporaire et qui peut tre supprimer aprs:
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat Ensuite, il est excut aprs avoir t completment cre. Ce fichier squentiel est employ pour effacer un fichier.
%WINDIR%\RichDll.dl Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: W32/Viking.EM.dll

%le fichier excut% Ensuite, il est excut aprs avoir t completment cre. This is the original version of the file before in (fr)



Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********


L'emplacement est le suivant:
   • down.down988.cn/**********

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



La cl de registre suivante est ajoute:

[HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infecteur Infector type: (fr)

Infector prepender (fr)


Infector Stealth (fr)
Infector stealth no (fr)


Mthode:

Ce virus reste actif dans la mmoire.


Infection Length (fr)

Approximately (fr) 64.000 Octets


The following files are infected (P) (fr)

By file type (fr)
   • *.exe

Files in the following directories (fr)
   • %tous les dossiers%
   • % liste du rseau utilis en commun%

 Arrt de processus:  Le service suivant est dsactiv:
   • Kingsoft AntiVirus Service

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Delphi.


Logiciel de compression des fichiers excutables:
Pour entraver la dtection et pour rduire la taille du fichier il est compress avec le logiciel de compression des excutables suivant:
   • PolyEnE 0.01+

Description insérée par Daniel Constantin le jeudi 11 février 2010
Description mise à jour par Daniel Constantin le jeudi 11 février 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.