Nome del virus:W32/Viking.B
Scoperto:30/05/2007
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Alto
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:No
Dimensione del file:72.100 Byte
Versione IVDF:6.38.01.205 - mercoledì 30 maggio 2007

 Generale Metodi di propagazione:
   • Infects files (it)
   • Rete locale


Alias:
   •  Symantec: W32.Looked.BK
   •  Mcafee: W32/HLLP.Philis.kc
   •  Kaspersky: Worm.Win32.Viking.lf
   •  Sophos: W32/Looked-DE
   •  VirusBuster: Win32.HLLP.Viking.JD
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.NCI


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Clona un file “maligno”
   • Infects files (it)
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
%WINDIR%\RichDll.dl Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: W32/Viking.B

%file eseguiti% Viene eseguito ulteriormente dopo che è stato completamente creato. This is the original version of the file before in (it)



Prova a scaricare dei file:

– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********


– La posizione è la seguente:
   • www.08325.cn/**********

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 File virale Infector type: (it)

Infector prepender (it)


Infector Stealth (it)
 Infector stealth no (it)


Metodo:

Questo virus rimane attivo nella memoria.


Infection Length (it)

Approximately (it) 72.000 Byte


The following files are infected (P) (it)

By file type (it)
   • *.exe

Files in the following directories (it)
   • %tutte le directory%
   • %condivisioni di rete%

 Processi terminati  Il seguente servizio viene disattivato:
   • Kingsoft AntiVirus Service

 Varie Mutex:
Crea il seguente Mutex:
   • VIRUS_ASMAPING_XZASDWRTTYEEWD82473M

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Delphi.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PolyEnE 0.01+

Descrizione inserita da Daniel Constantin su giovedì 11 febbraio 2010
Descrizione aggiornata da Daniel Constantin su giovedì 11 febbraio 2010

Indietro . . . .