Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusW32/Viking.BD.Upk
Data em que surgiu:26/07/2007
Tipo:File infector
Includo na lista "In The Wild"Sim
Nvel de danos:De mdio a elevado
Nvel de distribuio:Mdio
Nvel de risco:De baixo a mdio
Ficheiro esttico:No
Tamanho:34.158 Bytes
Verso IVDF:6.39.00.189 - quinta-feira, 26 de julho de 2007

 Vulgarmente Meios de transmisso:
    Infects files (pt)
   • Rede local


Alias:
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Deteco similar:
     W32/Viking.BD


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro malicioso
Infects files (pt)
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Apaga a cpia executada inicialmente.



So criados os seguintes ficheiros:

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %TEMPDIR%\$$a5.tmp

%todas as pastas%\_desktop.ini um ficheiro de texto no malicioso com o seguinte contedo:
   • % data actual%

%TEMPDIR%\$$a5.bat Alm disso executa-se depois de gerado. Este ficheiro de processamento em lote usado para apagar um ficheiro.
%WINDIR%\Dll.dl Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/ATRAPS.Gen

%ficheiro executado% Alm disso executa-se depois de gerado. This is the original version of the file before in (pt)



Tenta efectuar o download de alguns ficheiros:

A partir da seguinte localizao:
   • www.hffw35133.comhfyxw/**********


A partir da seguinte localizao:
   • www.hffw35133.comhfyxw/**********


A partir da seguinte localizao:
   • www.hffw35133.comhfyxw/**********


A partir da seguinte localizao:
   • www.hffw35133.comhfyxw/**********


A partir da seguinte localizao:
   • 222.77.178.218/xz/**********

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



adicionada a seguinte chave de registo:

[HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Infeco de ficheiros Infector type: (pt)

Infector prepender (pt)


Infector Stealth (pt)
Infector stealth no (pt)


Forma:

Contm uma ligao para outro malware.


Infection Length (pt)

Approximately (pt) 34.000 Bytes


The following files are infected (P) (pt)

By file type (pt)
   • *.exe

Files in the following directories (pt)
   • %todas as pastas%
   • %Partilhas de rede%

 Terminar o processo  Os seguintes servios so desactivados :
   • Kingsoft AntiVirus Service

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Delphi.

Descrição enviada por Daniel Constantin em quinta-feira, 11 de fevereiro de 2010
Descrição atualizada por Andrei Ivanes em quinta-feira, 11 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.