Имя:Worm/Viking.E.2
Обнаружен:14/07/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:30.105 байт.
Контрольная сумма MD5:f20C659f39f265927872ce524ba227fd
Версия VDF:6.35.00.97
Версия IVDF:6.35.00.121 - среда, 5 июля 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Looked.P
   •  TrendMicro: PE_LOOKED.AE-O
   •  VirusBuster: Worm.Viking.R
   •  Bitdefender: Win32.Worm.Viking.E


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает файлы
   • Изменение реестра

 Файлы Создается собственная копия:
   • %WINDIR%\rundl132.exe



Разделы добавляются в файл.
– Кому: %Диск%\%случайно выбранная директория%\*.exe Со следующим содержимым:
   • %malware dll% - Worm/Viking.N

– Кому: %сетевая папка общего доступа%\%случайно выбранная директория%\*.exe Со следующим содержимым:
   • %malware dll% - Worm/Viking.N




Создаются следующие файлы:

%Диск%\%случайно выбранная директория%\_desktop.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %актуальная дата%

%сетевая папка общего доступа%\%случайно выбранная директория%\_desktop.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %актуальная дата%

%Рабочая папка вредоносной программы%\vDll.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Viking.N




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: C:\1.txt

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\0Sy.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lineage.EM.5


– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\1Sy.exe Данный файл запускается на выполнение после его полной загрузки.

– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\2Sy.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lmir.12.A.3


– Следующий URL:
   • http://www.wowchian.com/sysdl/**********
Сохраняется локально в: %WINDIR%\3Sy.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/PSW.Lineage.VD

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Soft\DownloadWWW]
   • "auto"="1"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Прежнее значение:
   • "load"=""
   Новое значение:
   • "load"="%WINDIR%\rundl132.exe"

 Инфицирование –  Следующий файл вставляется в процесс: %Рабочая папка вредоносной программы%\vDll.dll

    Имя процесса:
   • explorer.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Monica Ghitun в(о) пятница, 14 июля 2006 г.
Описание обновил Monica Ghitun в(о) четверг, 3 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.