Имя:W32/Viking.B
Обнаружен:30/05/2007
Вид:Файловый вирус
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Нет
Размер файла:72.100 байт.
Версия IVDF:6.38.01.205 - среда, 30 мая 2007 г.

 Общее Методы распространения:
   • Infects files (ru)
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Looked.BK
   •  Mcafee: W32/HLLP.Philis.kc
   •  Kaspersky: Worm.Win32.Viking.lf
   •  Sophos: W32/Looked-DE
   •  VirusBuster: Win32.HLLP.Viking.JD
   •  Eset: Win32/Viking.CH
   •  Bitdefender: Win32.Worm.Viking.NCI


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Infects files (ru)
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\uninstall\rundl132.exe
   • %WINDIR%\Logo1_.exe



Выполненная копия программы удаляется.



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\$$a5.tmp

%TEMPDIR%\$$a5.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.
%WINDIR%\RichDll.dl Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: W32/Viking.B

%выполненный файл% После полного завершения процесса создания он запускается на выполнение. This is the original version of the file before in (ru)



Попытка загрузки следующих файлов:

– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********


– Следующий URL:
   • www.08325.cn/**********

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • "load"="%WINDIR%\uninstall\rundl132.exe"



Добавляется следующий ключ реестра:

– [HKLM\Software\Soft\DownloadWWW\]
   • "auto"="1"

 Инфицирование файлов Infector type: (ru)

Infector prepender (ru)


Infector Stealth (ru)
 Infector stealth no (ru)


Метод:

Данный резидентный вирус остаются активным в памяти.


Infection Length (ru)

Approximately (ru) 72.000 байт.


The following files are infected (P) (ru)

By file type (ru)
   • *.exe

Files in the following directories (ru)
   • %все папки%
   • %сетевая папка о
Описание добавил Daniel Constantin в(о) четверг, 11 февраля 2010 г.
Описание обновил Daniel Constantin в(о) четверг, 11 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.