Nom:W32/Viking.BD
La date de la découverte:04/03/2007
Type:Infecteur de fichier
En circulation:Oui
Infections signalées Moyen à élevé
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Non
Taille du fichier:34.158 Octets
Version IVDF:6.37.01.191 - dimanche 4 mars 2007

 Général Méthodes de propagation:
   • Infects files (fr)
   • Le réseau local


Les alias:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Détection similaires:
   •  W32/Viking.BD.Upk


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée un fichier malveillant
   • Infects files (fr)
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\$$a5.tmp

%tous les dossiers%\_desktop.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %la date courante%

%TEMPDIR%\$$a5.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.
%WINDIR%\Dll.dl Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/ATRAPS.Gen

%le fichier exécuté% Ensuite, il est exécuté après avoir été completment crée. This is the original version of the file before in (fr)



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • www.hffw35133.comhfyxw/**********


– L'emplacement est le suivant:
   • www.hffw35133.comhfyxw/**********


– L'emplacement est le suivant:
   • www.hffw35133.comhfyxw/**********


– L'emplacement est le suivant:
   • www.hffw35133.comhfyxw/**********


– L'emplacement est le suivant:
   • 222.77.178.218/xz/**********

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



La clé de registre suivante est ajoutée:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infecteur Infector type: (fr)

Infector prepender (fr)


Infector Stealth (fr)
 Infector stealth no (fr)


Méthode:

Ce virus reste actif dans la mémoire.


Infection Length (fr)

Approximately (fr) 34.000 Octets


The following files are infected (P) (fr)

By file type (fr)
   • *.exe

Files in the following directories (fr)
   • %tous les dossiers%
   • % liste du réseau utilisé en commun%

 Arrêt de processus:  Le service suivant est désactivé:
   • Kingsoft AntiVirus Service

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Delphi.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • Upack 0.24

Description insérée par Daniel Constantin le jeudi 11 février 2010
Description mise à jour par Andrei Ivanes le jeudi 11 février 2010

Retour . . . .