Worm.Win32. Viking.hb

Сетевой червь. Распространяется через доступные сетевые ресурсы. Является приложением Windows (PE EXE-файл). Имеет размер 67174 байта.

Инсталляция

После запуска программа копирует себя в корневой каталог Windows:

  
  %WinDir%\Logo1_.exe
  %WinDir%\uninstall\rundl132.exe

Для автоматической загрузки при каждом последующем старте системы червь добавляет ссылку на собственный исполняемый файл в ключ автозапуска системного реестра:

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "load" = "%WinDir%\uninstall\rundl132.exe"
  

Также в корневом каталоге Windows создаётся файл размером 31116 байт, имеющий имя «RichDll.dll»:

  %WinDir%\RichDll.dll
  

Червь генерирует ключ реестра, в котором хранит свои настройки:

  [HKLM\SOFTWARE\Soft\DownloadWWW]
  

Распространение через локальную сеть

Вирус копирует свое тело во все папки, содержащие файлы с расширением .exe — на все разделы жесткого диска, начиная с последнего, а также на доступные для записи сетевые папки.

Деструктивная активность

Червь ищет в системе и завершает процессы со следующими именами:

  
  EGHOST.EXE
  MAILMON.EXE
  KAVPFW.EXE
  IPARMOR.EXE
  Ravmond.EXE
  regsvc.exe
  RavMon.exe
  mcshield.exe
  KVMONXP.KXP
  KRegEx.exe
  KVXP.KXP
  

Производится остановка службы «Kingsoft AntiVirus Service».

Вредоносная программа разыскивает в системе процесс avp.exe. Если находит, выполняет следующие действия:

* устанавливает уровень громкости звука на минимум, чтобы не было слышно звуковых предупреждений антивирусной программы;

* ищет в системе окно с именем класса «AVP.AlertDialog» и имитирует в нем нажатие на кнопку «Разрешить».

Червь следит за активностью пользователя в окнах следующих приложений:

  
  lineage.exe
  Mir.exe
  Archlord.exe
  LineageII.exe
  Ragnarok.exe
  GameClient.exe
  

Параметры учетных записей для подключения к серверам данных игр похищаются.

Собранную информацию червь отправляет на электронную почту злоумышленника.

Также вирус скачивает из сети Интернет программы по ссылкам:

 
  http://*****ifafksajof.43242.com/gua/gua1.exe
  http://*****ifafksajof.43242.com/gua/gua2.exe
  http://*****ifafksajof.43242.com/gua/gua3.exe
  http://*****ifafksajof.43242.com/gua/gua4.exe
  http://*****ifafksajof.43242.com/gua/gua5.exe
  http://*****ifafksajof.43242.com/gua/gua6.exe
  http://*****ifafksajof.43242.com/gua/gua7.exe
  http://*****ifafksajof.43242.com/gua/gua8.exe
  

После успешной загрузки файлы запускаются на исполнение.

(На момент создания описания данные ссылки не работали.)