Worm.Win32. Viking.ai

Сетевой червь. Распространяется через доступные сетевые ресурсы.

Программа является приложением Windows (PE EXE-файл). Имеет размер 49 152 байта. Упакована UPX. Распакованный размер — около 219 КБ. Написана на Borland Delphi.

Инсталляция

После запуска программа копирует себя в корневой каталог Windows с именем rundl132.exe:

%WinDir%\rundl132.exe

Чтобы запускаться при старте операционной системы, программа добавляет ссылку на этот файл в ключ автозапуска системного реестра. На Win 98/Me:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "load"="%WinDir%\rundl132.exe"

На остальных операционных системах:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
 "load"="%WinDir%\rundl132.exe"

После этого червь получает системную дату и сравнивает ее с 01.04.2105, и если она больше, то завершает свою работу.

Также червь создает в корневом каталоге Windows файл размером 24 576 байт с именем Dll.dll:

%WinDir%\dll.dll

После чего внедряет созданную библиотеку в процессы Explorer.exe (проводник) и Iexplore.exe (браузер Internet Explorer), а также создает следующий ключ в реестре:

[HKLM\Software\Soft\DownloadWWW]
 "auto"="1"

Размножение через локальную сеть

Червь копирует себя в следующие доступные сетевые ресурсы:

 
ADMIN$
IPC$

Деструктивная активность

Червь ищет в системе и завершает процессы со следующими именами

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
mcshield.exe
RavMon.exe
Ravmond.EXE
regsvc.exe

Также червем останавливается служба Kingsoft AntiVirus Service.

Для всех жестких дисков червь осуществляет рекурсивный поиск файлов с расширением EXE во всех каталогах, кроме следующих:

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Recycled
System
System Volume Information
system32
windows
Windows NT
WindowsUpdate
winnt

Проверяется соответствие имен и если они совпадают со следующими, то происходит дописывание тела червя в начало таких файлов:

ACDSee4.exe
ACDSee5.exe
ACDSee6.exe
AgzNew.exe
Archlord.exe
AutoUpdate.exe
autoupdate.exe
BNUpdate.exe
Datang.exe
editplus.exe
EXCEL.EXE
flashget.exe
foxmail.exe
FSOnline.exe
GameClient.exe
install.exe
jxonline_t.exe
launcher.exe
lineage.exe
LineageII.exe
MHAutoPatch.exe
Mir.exe
msnmsgr.exe
Mu.exe
my.exe
NATEON.exe
NSStarter.exe
Patcher.exe
patchupdate.exe
QQ.exe
Ragnarok.exe
realplay.exe
run.exe
setup.exe
Silkroad.exe
Thunder.exe
ThunderShell.exe
TTPlayer.exe
Uedit32.exe
Winrar.exe
WINWORD.EXE
woool.exe
zfs.exe

При запуске такого файла происходит отрезание от него файла вируса и запуск уже незараженного файла.

Во всех проверенных на наличие EXE-файлов каталогах червь создает файл с именем _desktop.ini. Данный файл создается с атрибутами скрытый (hidden) и системный (system) и содержит дату запуска червя на исполнение.

Также червь посылает ICMP-запрос со строкой «Hello,World», проверяя доступность сетевого ресурса. Происходит поиск доступных сетевых ресурсов и заражение файлов, как в вышеописанном случае.

Также червь уменьшает громкость звука до 0, если в системе будет обнаружен процесс с именем avp.exe.

Червь содержит в себе список URL, которые проверяются на наличие файлов. В случае если по какому-то из этих адресов будет размещен файл, он будет загружен в систему и запущен.