Security Lab

Worm.Win32. Viking.a

Worm.Win32. Viking.a

Вирус-червь. Является приложением Windows (PE-EXE файл).

Вирус-червь. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция

При запуске червь копирует свой исполняемый файл в корневой каталог Windows:

  %WinDir%\Logo1_.exe

В свою рабочую директорию червь извлекает из своего тела следующий файл размером 17920 байт:

  %WorkDir%\virDll.dll 

А также создает ключ реестра, в котором хранит свои настройки:

  [HKLM\SOFTWARE\Soft\DownloadWWW]

Деструктивная активность

Червь заражает файлы с расширением «.exe» на всех фиксированных дисках и доступных для записи сетевых подпапках — за исключением тех, что находятся в папках, имена которых содержат следующие строки:

  system
  system32
  windows
  Documents and Settings
  System Volume Information
  Recycled
  winnt
  Program Files
  Windows NT
  WindowsUpdate
  Windows Media Player
  Outlook Express
  Internet Explorer
  ComPlus Applications
  NetMeeting
  Common Files
  Messenger
  Microsoft Office
  InstallShield Installation Information
  Microsoft Frontpage
  Movie Maker
  MSN Gaming Zone
  

Также не заражаются файлы, размер которых больше 10 млн. 485 тыс. 760 байт.

При инфицировании файлов червь записывает свой исполняемый файл перед их оригинальным содержимым.

Также червь завершает процессы:

  EGHOST.EXE
  MAILMON.EXE
  KAVPFW.EXE
  KWatchUI.EXE
  IPARMOR.EXE
  RavMon.exe

Выполняет команду:

  net stop "Kingsoft AntiVirus Service"

И добавляет в файл «%System%\drivers\etc\hosts» следующие строки:

  66.197.186.149 www.hinet.net
  66.197.186.149 www.pchome.com.tw
  66.197.186.149 www.msn.com.tw
  66.197.186.149 www.yam.com
  66.197.186.149 www.google.com.tw
  66.197.186.149 www.gamer.com.tw
  66.197.186.149 www.taiwankiss.com
  66.197.186.149 www.sina.com.tw
  66.197.186.149 www.so-net.net.tw
  66.197.186.149 www.url.com.tw
  66.197.186.149 www.uhome.net
  66.197.186.149 www.gamania.com
  66.197.186.149 www.104.com.tw
  66.197.186.149 www.tp.edu.tw
  66.197.186.149 www.seed.net.tw
  66.197.186.149 www.tw18.com
  66.197.186.149 www.gamebase.com.tw
  66.197.186.149 www.hello.com.tw
  66.197.186.149 www.taiwandns.com
  66.197.186.149 www.ithome.com.tw
  66.197.186.149 www.cartoonnetwork.com.tw
  66.197.186.149 bubble.com.tw
  66.197.186.149 tw.ebay.com
  66.197.186.149 www.microsoft.com
  66.197.186.149 www.oc-gamer.com
  66.197.186.149 www.igame.com.tw
  66.197.186.149 www.funtown.com.tw
  66.197.186.149 www.softstar.com.tw
  66.197.186.149 service.gamania.com
  66.197.186.149 www.gamezone.idv.tw
  66.197.186.149 www.ggame.com.tw
  66.197.186.149 www.gamestation.com.tw
  66.197.186.149 www.lineage2.com.tw
  66.197.186.149 tw.games.yahoo.com
  66.197.186.149 www.iogc.com.tw
  66.197.186.149 www.transakt.com.tw
  66.197.186.149 www.softking.com.tw
  66.197.186.149 www.sex141.com
  66.197.186.149 service.gamania.com
  66.197.186.149 www.x-legend.com.tw
  66.197.186.149 www.lineage2.com.tw
  66.197.186.149 dir.pchome.com.tw
  66.197.186.149 groups.msn.com
  66.197.186.149 www.microsoft.com
  66.197.186.149 www.trendmicro.com
  66.197.186.149 www.symantec.com
  66.197.186.149 www.trend.com.tw
  66.197.186.149 toget.pchome.com.tw
  66.197.186.149 www.y2000.com.tw
  66.197.186.149 www.jiangmin.com
  66.197.186.149 liveupdate.symantecliveupdate.com
  66.197.186.149 update.symantec.com
  66.197.186.149 www.kaspersky.com
  66.197.186.149 www.kaspersky.com.tw
  66.197.186.149 www.pandasecurity.com
  66.197.186.149 www.pandasoftware.com
  66.197.186.149 www.rising-global.com
  66.197.186.149 www.rising.com.cn
  66.197.186.149 www.rising-hk.com
  66.197.186.149 www.kingsoft.net
  66.197.186.149 db.kingsoft.com
  66.197.186.149 scan.kingsoft.com
  66.197.186.149 www.antivirus.com
  66.197.186.149 www.pc-cillin.com
  66.197.186.149 www.pc-cillin.com.tw
  66.197.186.149 online.rising.com.cn
  66.197.186.149 www.duba.net
  66.197.186.149 online.jiangmin.com
  66.197.186.149 online.kingsoft.net
  66.197.186.149 www.ahn.com.cn
  66.197.186.149 www.giga.net.tw
  66.197.186.149 www.etwebs.com
  66.197.186.149 www.kgex.com.tw
  66.197.186.149 www.cht.com.tw
  66.197.186.149 www.hib2b.com.tw
  66.197.186.149 www.onlinenet.com.tw
  66.197.186.149 www.apbb.com.tw
  66.197.186.149 www.gigigaga.com
  66.197.186.149 www.anet.net.tw
  66.197.186.149 www.hichannel.com.tw
  66.197.186.149 www.apbw.com
  66.197.186.149 www.cablehome.com.tw
  66.197.186.149 www.gigatv.com.tw
  66.197.186.149 www.postadult.com
  66.197.186.149 www.gaultier-x.com
  66.197.186.149 www.xxxpanda.com
  66.197.186.149 ejokeimg.pchome.com.tw
  66.197.186.149 bbs.sina.com.tw
  66.197.186.149 www.girl-tw.com
  66.197.186.149 www.kuro.com
  66.197.186.149 www.kuro.com.tw
  66.197.186.149 www.taconet.com.tw
  66.197.186.149 www.taiwan.com
  66.197.186.149 times.hinet.net
  66.197.186.149 windowsupdate.microsoft.com
  66.197.186.149 update2.avp.ch
  66.197.186.149 downloads1.kaspersky-labs.com

Таким образом, запросы антивирусных программ к серверам обновлений переадресовываются на посторонний сайт.

Также червь скачивает файл по следующей ссылке:

  http://www.****girl.com/1.exe
  

И сохраняет его как:

%WinDir%\1.exe

Затем файл запускается на исполнение.

Другие названия

Worm.Win32.Viking.a («Лаборатория Касперского») также известен как: W32/Generic.Delphi.b (McAfee), W32.Looked.B (Symantec), Win32.HLLW.Viking (Doctor Web), W32/LegMir-Z (Sophos), PE_LOOKED.B (Trend Micro), PSW.Lineage.R (Grisoft), Win32.Worm.Viking.A (SOFTWIN), Trj/Lineage.L (Panda), Win32/Viking.A (Eset) (На момент создания описания данная ссылка не работала.)

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!