Имя:W32/Viking.ND
Обнаружен:29/07/2009
Вид:Файловый вирус
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~24.000 байт.
Версия IVDF:7.01.05.43 - среда, 29 июля 2009 г.

 Общее Методы распространения:
   • Infects files (ru)
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Fujacks.CB
   •  Mcafee: W32/Fujacks.ay
   •  Kaspersky: Virus.Win32.Kate.a
   •  Sophos: W32/Newt-A
   •  Eset: Win32/Agent.DP
   •  Bitdefender: Win32.Viking.AL


Операционные системы:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Infects files (ru)
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\6to4.dll
   • %SYSDIR%\dllcache\6to4.dll
   • %SYSDIR%\dllcache\systembox.bak



Создаются следующие файлы:

%TEMPDIR%\TempDel.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
%TEMPDIR%\tem81.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Viking.NA

%SYSDIR%\drivers\WmiSvc.sys После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Rootkit.Gen

 Реестр Для загрузки служб после перезагрузки системы добавляются следующие ключи реестра.

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4]
   • "Type"=dword:00000020
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%SYSDIR%\6to4.dll
   • "DisplayName"="6to4"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Parameters]
   • "ServiceDll"=%SYSDIR%\6to4.dll

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\6to4\Enum]
   • "0"="Root\\LEGACY_6TO4\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc]
   • "Type"=dword:00000001
     "Start"=dword:00000002
     "ErrorControl"=dword:00000001
     "ImagePath"=%SYSDIR%\drivers\WmiSvc.sys
     "DisplayName"="WmiSvc"

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Security]
   • "Security"=%шестнадцатиричное значение%

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSvc\Enum]
   • "0"="Root\\LEGACY_WMISVC\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

 Инфицирование файлов Infector type: (ru)

Appender (ru)
Infector adds new section (ru)


Infector Stealth (ru)
 Infector stealth no (ru)


Метод:

Данный резидентный вирус остаются активным в памяти.


Infection Length (ru)

Approximately (ru) 24.000 байт.


The following files are infected (P) (ru)

By file type (ru)
   • *.exe

Files in the following directories (ru)
   • %все папки%

 Разное Интернет соединение:
Для проверки доступного Интернет соединения устанавливается контакт со следующим DNS сервером:
   • www.dy2004.com

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX V2.00-V2.90

Описание добавил Daniel Constantin в(о) среда, 10 февраля 2010 г.
Описание обновил Daniel Constantin в(о) среда, 10 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.