Полное описание

Имя:	Worm/Viking.E.2
Обнаружен:	14/07/2006
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	30.105 байт.
Контрольная сумма MD5:	f20C659f39f265927872ce524ba227fd
Версия VDF:	6.35.00.97
Версия IVDF:	6.35.00.121 - среда, 5 июля 2006 г.

Общее Метод распространения:
   • Локальная сеть

Псевдонимы (аliases):
   • Symantec: W32.Looked.P
   • TrendMicro: PE_LOOKED.AE-O
   • VirusBuster: Worm.Viking.R
   • Bitdefender: Win32.Worm.Viking.E

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает файлы
   • Изменение реестра

Файлы Создается собственная копия:
   • %WINDIR%\rundl132.exe

Разделы добавляются в файл.
– Кому: %Диск%\%случайно выбранная директория%\*.exe Со следующим содержимым:
   • %malware dll% - Worm/Viking.N

– Кому: %сетевая папка общего доступа%\%случайно выбранная директория%\*.exe Со следующим содержимым:
   • %malware dll% - Worm/Viking.N

Создаются следующие файлы:

– %Диск%\%случайно выбранная директория%\_desktop.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %актуальная дата%

– %сетевая папка общего доступа%\%случайно выбранная директория%\_desktop.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %актуальная дата%

– %Рабочая папка вредоносной программы%\vDll.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Viking.N

Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: C:\1.txt

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\0Sy.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lineage.EM.5

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\1Sy.exe Данный файл запускается на выполнение после его полной загрузки.

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\2Sy.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lmir.12.A.3

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\3Sy.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lineage.VD

Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Прежнее значение:
   • "load"=""
   Новое значение:
   • "load"="%WINDIR%\rundl132.exe"

Инфицирование – Следующий файл вставляется в процесс: %Рабочая папка вредоносной программы%\vDll.dll

Имя процесса:
• explorer.exe

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) пятница, 14 июля 2006 г.
Описание обновил Monica Ghitun в(о) четверг, 3 августа 2006 г.

Назад . . . .