VírusWorm/Viking.E.2
Data em que surgiu:14/07/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:30.105 Bytes
MD5 checksum:f20C659f39f265927872ce524ba227fd
Versão VDF:6.35.00.97
Versão IVDF:6.35.00.121 - quarta-feira, 5 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %WINDIR%\rundl132.exe



É acrescentada uma secção a um ficheiro.
– Para: %unidade%\%directório seleccionado aleatoriamente%\*.exe Com os conteúdos seguintes:
   • %dll de malware% - Worm/Viking.N

– Para: %Partilhas de rede%\%directório seleccionado aleatoriamente%\*.exe Com os conteúdos seguintes:
   • %dll de malware% - Worm/Viking.N




São criados os seguintes ficheiros:

%unidade%\%directório seleccionado aleatoriamente%\_desktop.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %data actual%

%Partilhas de rede%\%directório seleccionado aleatoriamente%\_desktop.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %data actual%

%directório de execução do malware%\vDll.dll Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Viking.N




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.wowchian.com/sysdl/**********
Encontra-se no disco rígido: C:\1.txt

– A partir da seguinte localização:
   • http://www.wowchian.com/sysdl/**********
Encontra-se no disco rígido: %WINDIR%\0Sy.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Lineage.EM.5


– A partir da seguinte localização:
   • http://www.wowchian.com/sysdl/**********
Encontra-se no disco rígido: %WINDIR%\1Sy.exe Além disso executa-se depois do download estar completo.

– A partir da seguinte localização:
   • http://www.wowchian.com/sysdl/**********
Encontra-se no disco rígido: %WINDIR%\2Sy.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Lmir.12.A.3


– A partir da seguinte localização:
   • http://www.wowchian.com/sysdl/**********
Encontra-se no disco rígido: %WINDIR%\3Sy.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/PSW.Lineage.VD

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "load"=""
   Valor recente:
   • "load"="%WINDIR%\rundl132.exe"

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %directório de execução do malware%\vDll.dll

    Nome do processo:
   • explorer.exe


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Monica Ghitun em sexta-feira, 14 de julho de 2006
Descrição atualizada por Monica Ghitun em quinta-feira, 3 de agosto de 2006

Voltar . . . .