Worm.Win32. Viking.a

Вирус-червь. Является приложением Windows (PE-EXE файл).

Вирус-червь. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция

При запуске червь копирует свой исполняемый файл в корневой каталог Windows:

 %WinDir%\Logo1_.exe

В свою рабочую директорию червь извлекает из своего тела следующий файл размером 17920 байт:

 %WorkDir%\virDll.dll 

А также создает ключ реестра, в котором хранит свои настройки:

 [HKLM\SOFTWARE\Soft\DownloadWWW]

Деструктивная активность

Червь заражает файлы с расширением «.exe» на всех фиксированных дисках и доступных для записи сетевых подпапках — за исключением тех, что находятся в папках, имена которых содержат следующие строки:

 system
 system32
 windows
 Documents and Settings
 System Volume Information
 Recycled
 winnt
 Program Files
 Windows NT
 WindowsUpdate
 Windows Media Player
 Outlook Express
 Internet Explorer
 ComPlus Applications
 NetMeeting
 Common Files
 Messenger
 Microsoft Office
 InstallShield Installation Information
 Microsoft Frontpage
 Movie Maker
 MSN Gaming Zone
 

Также не заражаются файлы, размер которых больше 10 млн. 485 тыс. 760 байт.

При инфицировании файлов червь записывает свой исполняемый файл перед их оригинальным содержимым.

Также червь завершает процессы:

 EGHOST.EXE
 MAILMON.EXE
 KAVPFW.EXE
 KWatchUI.EXE
 IPARMOR.EXE
 RavMon.exe

Выполняет команду:

 net stop "Kingsoft AntiVirus Service"

И добавляет в файл «%System%\drivers\etc\hosts» следующие строки:

 66.197.186.149 www.hinet.net
 66.197.186.149 www.pchome.com.tw
 66.197.186.149 www.msn.com.tw
 66.197.186.149 www.yam.com
 66.197.186.149 www.google.com.tw
 66.197.186.149 www.gamer.com.tw
 66.197.186.149 www.taiwankiss.com
 66.197.186.149 www.sina.com.tw
 66.197.186.149 www.so-net.net.tw
 66.197.186.149 www.url.com.tw
 66.197.186.149 www.uhome.net
 66.197.186.149 www.gamania.com
 66.197.186.149 www.104.com.tw
 66.197.186.149 www.tp.edu.tw
 66.197.186.149 www.seed.net.tw
 66.197.186.149 www.tw18.com
 66.197.186.149 www.gamebase.com.tw
 66.197.186.149 www.hello.com.tw
 66.197.186.149 www.taiwandns.com
 66.197.186.149 www.ithome.com.tw
 66.197.186.149 www.cartoonnetwork.com.tw
 66.197.186.149 bubble.com.tw
 66.197.186.149 tw.ebay.com
 66.197.186.149 www.microsoft.com
 66.197.186.149 www.oc-gamer.com
 66.197.186.149 www.igame.com.tw
 66.197.186.149 www.funtown.com.tw
 66.197.186.149 www.softstar.com.tw
 66.197.186.149 service.gamania.com
 66.197.186.149 www.gamezone.idv.tw
 66.197.186.149 www.ggame.com.tw
 66.197.186.149 www.gamestation.com.tw
 66.197.186.149 www.lineage2.com.tw
 66.197.186.149 tw.games.yahoo.com
 66.197.186.149 www.iogc.com.tw
 66.197.186.149 www.transakt.com.tw
 66.197.186.149 www.softking.com.tw
 66.197.186.149 www.sex141.com
 66.197.186.149 service.gamania.com
 66.197.186.149 www.x-legend.com.tw
 66.197.186.149 www.lineage2.com.tw
 66.197.186.149 dir.pchome.com.tw
 66.197.186.149 groups.msn.com
 66.197.186.149 www.microsoft.com
 66.197.186.149 www.trendmicro.com
 66.197.186.149 www.symantec.com
 66.197.186.149 www.trend.com.tw
 66.197.186.149 toget.pchome.com.tw
 66.197.186.149 www.y2000.com.tw
 66.197.186.149 www.jiangmin.com
 66.197.186.149 liveupdate.symantecliveupdate.com
 66.197.186.149 update.symantec.com
 66.197.186.149 www.kaspersky.com
 66.197.186.149 www.kaspersky.com.tw
 66.197.186.149 www.pandasecurity.com
 66.197.186.149 www.pandasoftware.com
 66.197.186.149 www.rising-global.com
 66.197.186.149 www.rising.com.cn
 66.197.186.149 www.rising-hk.com
 66.197.186.149 www.kingsoft.net
 66.197.186.149 db.kingsoft.com
 66.197.186.149 scan.kingsoft.com
 66.197.186.149 www.antivirus.com
 66.197.186.149 www.pc-cillin.com
 66.197.186.149 www.pc-cillin.com.tw
 66.197.186.149 online.rising.com.cn
 66.197.186.149 www.duba.net
 66.197.186.149 online.jiangmin.com
 66.197.186.149 online.kingsoft.net
 66.197.186.149 www.ahn.com.cn
 66.197.186.149 www.giga.net.tw
 66.197.186.149 www.etwebs.com
 66.197.186.149 www.kgex.com.tw
 66.197.186.149 www.cht.com.tw
 66.197.186.149 www.hib2b.com.tw
 66.197.186.149 www.onlinenet.com.tw
 66.197.186.149 www.apbb.com.tw
 66.197.186.149 www.gigigaga.com
 66.197.186.149 www.anet.net.tw
 66.197.186.149 www.hichannel.com.tw
 66.197.186.149 www.apbw.com
 66.197.186.149 www.cablehome.com.tw
 66.197.186.149 www.gigatv.com.tw
 66.197.186.149 www.postadult.com
 66.197.186.149 www.gaultier-x.com
 66.197.186.149 www.xxxpanda.com
 66.197.186.149 ejokeimg.pchome.com.tw
 66.197.186.149 bbs.sina.com.tw
 66.197.186.149 www.girl-tw.com
 66.197.186.149 www.kuro.com
 66.197.186.149 www.kuro.com.tw
 66.197.186.149 www.taconet.com.tw
 66.197.186.149 www.taiwan.com
 66.197.186.149 times.hinet.net
 66.197.186.149 windowsupdate.microsoft.com
 66.197.186.149 update2.avp.ch
 66.197.186.149 downloads1.kaspersky-labs.com

Таким образом, запросы антивирусных программ к серверам обновлений переадресовываются на посторонний сайт.

Также червь скачивает файл по следующей ссылке:

 http://www.****girl.com/1.exe
 

И сохраняет его как:

%WinDir%\1.exe

Затем файл запускается на исполнение.

Другие названия

Worm.Win32.Viking.a («Лаборатория Касперского») также известен как: W32/Generic.Delphi.b (McAfee), W32.Looked.B (Symantec), Win32.HLLW.Viking (Doctor Web), W32/LegMir-Z (Sophos), PE_LOOKED.B (Trend Micro), PSW.Lineage.R (Grisoft), Win32.Worm.Viking.A (SOFTWIN), Trj/Lineage.L (Panda), Win32/Viking.A (Eset) (На момент создания описания данная ссылка не работала.)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.