Имя:W32/Viking.BD
Обнаружен:04/03/2007
Вид:Файловый вирус
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Размер файла:34.158 байт.
Версия IVDF:6.37.01.191 - воскресенье, 4 марта 2007 г.

 Общее Методы распространения:
   • Infects files (ru)
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Looked.P
   •  Mcafee: W32/HLLP.Philis.bd
   •  Kaspersky: Worm.Win32.Viking.bd
   •  Sophos: W32/Looked-AM
   •  VirusBuster: Win32.HLLP.Viking.Gen.2
   •  Eset: Win32/Viking.BN
   •  Bitdefender: Win32.Worm.Viking.NCJ

Похожее обнаружение:
   •  W32/Viking.BD.Upk


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Infects files (ru)
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\rundl132.exe
   • %WINDIR%\Logo1_.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\$$a5.tmp

%все папки%\_desktop.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • %актуальная дата%

%TEMPDIR%\$$a5.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
%WINDIR%\Dll.dl Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/ATRAPS.Gen

%выполненный файл% После полного завершения процесса создания он запускается на выполнение. This is the original version of the file before in (ru)



Попытка загрузки следующих файлов:

– Следующий URL:
   • www.hffw35133.comhfyxw/**********


– Следующий URL:
   • www.hffw35133.comhfyxw/**********


– Следующий URL:
   • www.hffw35133.comhfyxw/**********


– Следующий URL:
   • www.hffw35133.comhfyxw/**********


– Следующий URL:
   • 222.77.178.218/xz/**********

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • "load"="%WINDIR%\rundl132.exe"



Добавляется следующий ключ реестра:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Инфицирование файлов Infector type: (ru)

Infector prepender (ru)


Infector Stealth (ru)
 Infector stealth no (ru)


Метод:

Данный резидентный вирус остаются активным в памяти.


Infection Length (ru)

Approximately (ru) 34.000 байт.


The following files are infected (P) (ru)

By file type (ru)
   • *.exe

Files in the following directories (ru)
   • %все папки%
   • %сетевая папка о
Описание добавил Daniel Constantin в(о) четверг, 11 февраля 2010 г.
Описание обновил Andrei Ivanes в(о) четверг, 11 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.