Nome del virus:W32/Viking.ND
Scoperto:29/07/2009
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Alto
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:No
Dimensione del file:~24.000 Byte
Versione IVDF:7.01.05.43 - mercoledì 29 luglio 2009

 Generale Metodi di propagazione:
   • Infects files (it)
   • Rete locale


Alias:
   •  Symantec: W32.Fujacks.CB
   •  Mcafee: W32/Fujacks.ay
   •  Kaspersky: Virus.Win32.Kate.a
   •  Sophos: W32/Newt-A
   •  Eset: Win32/Agent.DP
   •  Bitdefender: Win32.Viking.AL


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Infects files (it)
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\6to4.dll
   • %SYSDIR%\dllcache\6to4.dll
   • %SYSDIR%\dllcache\systembox.bak



Vengono creati i seguenti file:

%TEMPDIR%\TempDel.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%TEMPDIR%\tem81.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Viking.NA

%SYSDIR%\drivers\WmiSvc.sys Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Rootkit.Gen

 Registro Vengono aggiunte nel registro le seguenti chiavi con lo scopo di caricare i servizi dopo il riavvio:

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4]
   • "Type"=dword:00000020
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\6to4.dll
   • "DisplayName"="6to4"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
   • "ServiceDll"=%SYSDIR%\6to4.dll

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Enum]
   • "0"="Root\\LEGACY_6TO4\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc]
   • "Type"=dword:00000001
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\drivers\WmiSvc.sys
     "DisplayName"="WmiSvc"

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Security]
   • "Security"=%valori esadecimali%

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Enum]
   • "0"="Root\\LEGACY_WMISVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 File virale Infector type: (it)

Appender (it)
Infector adds new section (it)


Infector Stealth (it)
 Infector stealth no (it)


Metodo:

Questo virus rimane attivo nella memoria.


Infection Length (it)

Approximately (it) 24.000 Byte


The following files are infected (P) (it)

By file type (it)
   • *.exe

Files in the following directories (it)
   • %tutte le directory%

 Varie Collegamento a internet:
Per verificare la propria connessione internet, viene contattato il seguente server DNS:
   • www.dy2004.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX V2.00-V2.90

Descrizione inserita da Daniel Constantin su mercoledì 10 febbraio 2010
Descrizione aggiornata da Daniel Constantin su mercoledì 10 febbraio 2010

Indietro . . . .