VírusW32/Viking.BD
Data em que surgiu:04/03/2007
Tipo:File infector
Incluído na lista "In The Wild"Sim
Nível de danos:De médio a elevado
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Não
Tamanho:34.158 Bytes
Versão IVDF:6.37.01.191 - domingo, 4 de março de 2007

 Vulgarmente Meios de transmissão:
   • Infects files (pt)
   • Rede local


Alias:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Detecção similar:
   •  W32/Viking.BD.Upk


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro malicioso
   • Infects files (pt)
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\$$a5.tmp

%todas as pastas%\_desktop.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • % data actual%

%TEMPDIR%\$$a5.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.
%WINDIR%\Dll.dl Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/ATRAPS.Gen

%ficheiro executado% Além disso executa-se depois de gerado. This is the original version of the file before in (pt)



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • www.hffw35133.comhfyxw/**********


– A partir da seguinte localização:
   • www.hffw35133.comhfyxw/**********


– A partir da seguinte localização:
   • www.hffw35133.comhfyxw/**********


– A partir da seguinte localização:
   • www.hffw35133.comhfyxw/**********


– A partir da seguinte localização:
   • 222.77.178.218/xz/**********

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



É adicionada a seguinte chave de registo:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infecção de ficheiros Infector type: (pt)

Infector prepender (pt)


Infector Stealth (pt)
 Infector stealth no (pt)


Forma:

Contém uma ligação para outro malware.


Infection Length (pt)

Approximately (pt) 34.000 Bytes


The following files are infected (P) (pt)

By file type (pt)
   • *.exe

Files in the following directories (pt)
   • %todas as pastas%
   • %Partilhas de rede%

 Terminar o processo  Os seguintes serviços são desactivados :
   • Kingsoft AntiVirus Service

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Delphi.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • Upack 0.24

Descrição enviada por Daniel Constantin em quinta-feira, 11 de fevereiro de 2010
Descrição atualizada por Andrei Ivanes em quinta-feira, 11 de fevereiro de 2010

Voltar . . . .