VírusW32/Viking.EM
Data em que surgiu:15/06/2007
Tipo:File infector
Incluído na lista "In The Wild"Não
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Não
Tamanho:64.063 Bytes
Versão IVDF:6.39.00.22 - sexta-feira, 15 de junho de 2007

 Vulgarmente Meios de transmissão:
   • Infects files (pt)
   • Rede local


Alias:
   •  Symantec: W32.Looked.O
   •  Mcafee: W32/HLLP.Philis.ei
   •  Kaspersky: Worm.Win32.Viking.em
   •  Sophos: W32/Looked-EA
   •  VirusBuster: Win32.HLLP.Viking.IZ
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.EM


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro malicioso
   • Infects files (pt)
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%WINDIR%\RichDll.dl Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: W32/Viking.EM.dll

%ficheiro executado% Além disso executa-se depois de gerado. This is the original version of the file before in (pt)



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********


– A partir da seguinte localização:
   • down.down988.cn/**********

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



É adicionada a seguinte chave de registo:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infecção de ficheiros Infector type: (pt)

Infector prepender (pt)


Infector Stealth (pt)
 Infector stealth no (pt)


Forma:

Contém uma ligação para outro malware.


Infection Length (pt)

Approximately (pt) 64.000 Bytes


The following files are infected (P) (pt)

By file type (pt)
   • *.exe

Files in the following directories (pt)
   • %todas as pastas%
   • %Partilhas de rede%

 Terminar o processo  Os seguintes serviços são desactivados :
   • Kingsoft AntiVirus Service

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PolyEnE 0.01+

Descrição enviada por Daniel Constantin em quinta-feira, 11 de fevereiro de 2010
Descrição atualizada por Daniel Constantin em quinta-feira, 11 de fevereiro de 2010

Voltar . . . .