Worm.Win32. Viking.a

Вирус-червь. Является приложением Windows (PE-EXE файл).

Вирус-червь. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.

Инсталляция

При запуске червь копирует свой исполняемый файл в корневой каталог Windows:

%WinDir%\Logo1_.exe

В свою рабочую директорию червь извлекает из своего тела следующий файл размером 17920 байт:

%WorkDir%\virDll.dll 

А также создает ключ реестра, в котором хранит свои настройки:

[HKLM\SOFTWARE\Soft\DownloadWWW]

Деструктивная активность

Червь заражает файлы с расширением «.exe» на всех фиксированных дисках и доступных для записи сетевых подпапках — за исключением тех, что находятся в папках, имена которых содержат следующие строки:

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

Также не заражаются файлы, размер которых больше 10 млн. 485 тыс. 760 байт.

При инфицировании файлов червь записывает свой исполняемый файл перед их оригинальным содержимым.

Также червь завершает процессы:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
KWatchUI.EXE
IPARMOR.EXE
RavMon.exe

Выполняет команду:

net stop "Kingsoft AntiVirus Service"

И добавляет в файл «%System%\drivers\etc\hosts» следующие строки:

66.197.186.149 www.hinet.net
66.197.186.149 www.pchome.com.tw
66.197.186.149 www.msn.com.tw
66.197.186.149 www.yam.com
66.197.186.149 www.google.com.tw
66.197.186.149 www.gamer.com.tw
66.197.186.149 www.taiwankiss.com
66.197.186.149 www.sina.com.tw
66.197.186.149 www.so-net.net.tw
66.197.186.149 www.url.com.tw
66.197.186.149 www.uhome.net
66.197.186.149 www.gamania.com
66.197.186.149 www.104.com.tw
66.197.186.149 www.tp.edu.tw
66.197.186.149 www.seed.net.tw
66.197.186.149 www.tw18.com
66.197.186.149 www.gamebase.com.tw
66.197.186.149 www.hello.com.tw
66.197.186.149 www.taiwandns.com
66.197.186.149 www.ithome.com.tw
66.197.186.149 www.cartoonnetwork.com.tw
66.197.186.149 bubble.com.tw
66.197.186.149 tw.ebay.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.oc-gamer.com
66.197.186.149 www.igame.com.tw
66.197.186.149 www.funtown.com.tw
66.197.186.149 www.softstar.com.tw
66.197.186.149 service.gamania.com
66.197.186.149 www.gamezone.idv.tw
66.197.186.149 www.ggame.com.tw
66.197.186.149 www.gamestation.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 tw.games.yahoo.com
66.197.186.149 www.iogc.com.tw
66.197.186.149 www.transakt.com.tw
66.197.186.149 www.softking.com.tw
66.197.186.149 www.sex141.com
66.197.186.149 service.gamania.com
66.197.186.149 www.x-legend.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 dir.pchome.com.tw
66.197.186.149 groups.msn.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.trendmicro.com
66.197.186.149 www.symantec.com
66.197.186.149 www.trend.com.tw
66.197.186.149 toget.pchome.com.tw
66.197.186.149 www.y2000.com.tw
66.197.186.149 www.jiangmin.com
66.197.186.149 liveupdate.symantecliveupdate.com
66.197.186.149 update.symantec.com
66.197.186.149 www.kaspersky.com
66.197.186.149 www.kaspersky.com.tw
66.197.186.149 www.pandasecurity.com
66.197.186.149 www.pandasoftware.com
66.197.186.149 www.rising-global.com
66.197.186.149 www.rising.com.cn
66.197.186.149 www.rising-hk.com
66.197.186.149 www.kingsoft.net
66.197.186.149 db.kingsoft.com
66.197.186.149 scan.kingsoft.com
66.197.186.149 www.antivirus.com
66.197.186.149 www.pc-cillin.com
66.197.186.149 www.pc-cillin.com.tw
66.197.186.149 online.rising.com.cn
66.197.186.149 www.duba.net
66.197.186.149 online.jiangmin.com
66.197.186.149 online.kingsoft.net
66.197.186.149 www.ahn.com.cn
66.197.186.149 www.giga.net.tw
66.197.186.149 www.etwebs.com
66.197.186.149 www.kgex.com.tw
66.197.186.149 www.cht.com.tw
66.197.186.149 www.hib2b.com.tw
66.197.186.149 www.onlinenet.com.tw
66.197.186.149 www.apbb.com.tw
66.197.186.149 www.gigigaga.com
66.197.186.149 www.anet.net.tw
66.197.186.149 www.hichannel.com.tw
66.197.186.149 www.apbw.com
66.197.186.149 www.cablehome.com.tw
66.197.186.149 www.gigatv.com.tw
66.197.186.149 www.postadult.com
66.197.186.149 www.gaultier-x.com
66.197.186.149 www.xxxpanda.com
66.197.186.149 ejokeimg.pchome.com.tw
66.197.186.149 bbs.sina.com.tw
66.197.186.149 www.girl-tw.com
66.197.186.149 www.kuro.com
66.197.186.149 www.kuro.com.tw
66.197.186.149 www.taconet.com.tw
66.197.186.149 www.taiwan.com
66.197.186.149 times.hinet.net
66.197.186.149 windowsupdate.microsoft.com
66.197.186.149 update2.avp.ch
66.197.186.149 downloads1.kaspersky-labs.com

Таким образом, запросы антивирусных программ к серверам обновлений переадресовываются на посторонний сайт.

Также червь скачивает файл по следующей ссылке:

http://www.****girl.com/1.exe

И сохраняет его как:

%WinDir%\1.exe

Затем файл запускается на исполнение.

Другие названия

Worm.Win32.Viking.a («Лаборатория Касперского») также известен как: W32/Generic.Delphi.b (McAfee), W32.Looked.B (Symantec), Win32.HLLW.Viking (Doctor Web), W32/LegMir-Z (Sophos), PE_LOOKED.B (Trend Micro), PSW.Lineage.R (Grisoft), Win32.Worm.Viking.A (SOFTWIN), Trj/Lineage.L (Panda), Win32/Viking.A (Eset) (На момент создания описания данная ссылка не работала.)