VírusW32/Viking.ND
Data em que surgiu:29/07/2009
Tipo:File infector
Incluído na lista "In The Wild"Sim
Nível de danos:De médio a elevado
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~24.000 Bytes
Versão IVDF:7.01.05.43 - quarta-feira, 29 de julho de 2009

 Vulgarmente Meios de transmissão:
   • Infects files (pt)
   • Rede local


Alias:
   •  Symantec: W32.Fujacks.CB
   •  Mcafee: W32/Fujacks.ay
   •  Kaspersky: Virus.Win32.Kate.a
   •  Sophos: W32/Newt-A
   •  Eset: Win32/Agent.DP
   •  Bitdefender: Win32.Viking.AL


Sistemas Operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Infects files (pt)
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\6to4.dll
   • %SYSDIR%\dllcache\6to4.dll
   • %SYSDIR%\dllcache\systembox.bak



São criados os seguintes ficheiros:

%TEMPDIR%\TempDel.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%TEMPDIR%\tem81.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Viking.NA

%SYSDIR%\drivers\WmiSvc.sys Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Rootkit.Gen

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4]
   • "Type"=dword:00000020
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\6to4.dll
   • "DisplayName"="6to4"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
   • "ServiceDll"=%SYSDIR%\6to4.dll

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Enum]
   • "0"="Root\\LEGACY_6TO4\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc]
   • "Type"=dword:00000001
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\drivers\WmiSvc.sys
     "DisplayName"="WmiSvc"

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Enum]
   • "0"="Root\\LEGACY_WMISVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 Infecção de ficheiros Infector type: (pt)

Appender (pt)
Infector adds new section (pt)


Infector Stealth (pt)
 Infector stealth no (pt)


Forma:

Contém uma ligação para outro malware.


Infection Length (pt)

Approximately (pt) 24.000 Bytes


The following files are infected (P) (pt)

By file type (pt)
   • *.exe

Files in the following directories (pt)
   • %todas as pastas%

 Informações diversas Ligação à internet:
Para conferir a sua ligação à internet é contactado o seguinte servidor de DNS:
   • www.dy2004.com

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX V2.00-V2.90

Descrição enviada por Daniel Constantin em quarta-feira, 10 de fevereiro de 2010
Descrição atualizada por Daniel Constantin em quarta-feira, 10 de fevereiro de 2010

Voltar . . . .