Worm.Win32.Viking.a

Szkodnik ten jest robakiem. Ma posta膰 pliku PE EXE o rozmiarze 67 072 bajt贸w.

Instalacja

Po uruchomieniu robak kopiuje sw贸j plik wykonywalny do g艂贸wnego foldera systemu Windows:

%WinDir%Logo1_.exe

Robak wydobywa r贸wnie偶 ze swojego cia艂a do foldera roboczego nast臋puj膮cy plik:

%WorkDir%VirDll.dll – plik ten ma rozmiar 17 920 bajt贸w. 

Robak tworzy nast臋puj膮cy klucz rejestru i zapisuje do niego swoj膮 konfiguracj臋:

[HKLMSOFTWARESoftDownloadWWW]

Funkcje szkodnika

Robak infekuje pliki z rozszerzeniem .exe na wszystkich sta艂ych dyskach i we wszystkich folderach sieciowych, kt贸re s膮 udost臋pnione do zapisu z wyj膮tkiem plik贸w w folderach, kt贸rych nazwy zawieraj膮 nast臋puj膮ce ci膮gi:

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

Robak nie infekuje r贸wnie偶 plik贸w, kt贸re s膮 wi臋ksze ni偶 10 485 760 bajt贸w.

Robak zapisuje sw贸j plik wykonywalny na pocz膮tku infekowanego pliku, przesuwaj膮c w d贸艂 oryginaln膮 zawarto艣膰 pliku.

Robak ko艅czy r贸wnie偶 nast臋puj膮ce procesy:

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
KWatchUI.EXE
IPARMOR.EXE
RavMon.exe

Uruchamia nast臋puj膮ce polecenie:

net stop "Kingsoft AntiVirus Service"

Robak dodaje poni偶sze ci膮gi do nast臋puj膮cego pliku:

%System%driversetchosts
66.197.186.149 www.hinet.net
66.197.186.149 www.pchome.com.tw
66.197.186.149 www.msn.com.tw
66.197.186.149 www.yam.com
66.197.186.149 www.google.com.tw
66.197.186.149 www.gamer.com.tw
66.197.186.149 www.taiwankiss.com
66.197.186.149 www.sina.com.tw
66.197.186.149 www.so-net.net.tw
66.197.186.149 www.url.com.tw
66.197.186.149 www.uhome.net
66.197.186.149 www.gamania.com
66.197.186.149 www.104.com.tw
66.197.186.149 www.tp.edu.tw
66.197.186.149 www.seed.net.tw
66.197.186.149 www.tw18.com
66.197.186.149 www.gamebase.com.tw
66.197.186.149 www.hello.com.tw
66.197.186.149 www.taiwandns.com
66.197.186.149 www.ithome.com.tw
66.197.186.149 www.cartoonnetwork.com.tw
66.197.186.149 bubble.com.tw
66.197.186.149 tw.ebay.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.oc-gamer.com
66.197.186.149 www.igame.com.tw
66.197.186.149 www.funtown.com.tw
66.197.186.149 www.softstar.com.tw
66.197.186.149 service.gamania.com
66.197.186.149 www.gamezone.idv.tw
66.197.186.149 www.ggame.com.tw
66.197.186.149 www.gamestation.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 tw.games.yahoo.com
66.197.186.149 www.iogc.com.tw
66.197.186.149 www.transakt.com.tw
66.197.186.149 www.softking.com.tw
66.197.186.149 www.sex141.com
66.197.186.149 service.gamania.com
66.197.186.149 www.x-legend.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 dir.pchome.com.tw
66.197.186.149 groups.msn.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.trendmicro.com
66.197.186.149 www.symantec.com
66.197.186.149 www.trend.com.tw
66.197.186.149 toget.pchome.com.tw
66.197.186.149 www.y2000.com.tw
66.197.186.149 www.jiangmin.com
66.197.186.149 liveupdate.symantecliveupdate.com
66.197.186.149 update.symantec.com
66.197.186.149 www.kaspersky.com
66.197.186.149 www.kaspersky.com.tw
66.197.186.149 www.pandasecurity.com
66.197.186.149 www.pandasoftware.com
66.197.186.149 www.rising-global.com
66.197.186.149 www.rising.com.cn
66.197.186.149 www.rising-hk.com
66.197.186.149 www.kingsoft.net
66.197.186.149 db.kingsoft.com
66.197.186.149 scan.kingsoft.com
66.197.186.149 www.antivirus.com
66.197.186.149 www.pc-cillin.com
66.197.186.149 www.pc-cillin.com.tw
66.197.186.149 online.rising.com.cn
66.197.186.149 www.duba.net
66.197.186.149 online.jiangmin.com
66.197.186.149 online.kingsoft.net
66.197.186.149 www.ahn.com.cn
66.197.186.149 www.giga.net.tw
66.197.186.149 www.etwebs.com
66.197.186.149 www.kgex.com.tw
66.197.186.149 www.cht.com.tw
66.197.186.149 www.hib2b.com.tw
66.197.186.149 www.onlinenet.com.tw
66.197.186.149 www.apbb.com.tw
66.197.186.149 www.gigigaga.com
66.197.186.149 www.anet.net.tw
66.197.186.149 www.hichannel.com.tw
66.197.186.149 www.apbw.com
66.197.186.149 www.cablehome.com.tw
66.197.186.149 www.gigatv.com.tw
66.197.186.149 www.postadult.com
66.197.186.149 www.gaultier-x.com
66.197.186.149 www.xxxpanda.com
66.197.186.149 ejokeimg.pchome.com.tw
66.197.186.149 bbs.sina.com.tw
66.197.186.149 www.girl-tw.com
66.197.186.149 www.kuro.com
66.197.186.149 www.kuro.com.tw
66.197.186.149 www.taconet.com.tw
66.197.186.149 www.taiwan.com
66.197.186.149 times.hinet.net
66.197.186.149 windowsupdate.microsoft.com
66.197.186.149 update2.avp.ch
66.197.186.149 downloads1.kaspersky-labs.com

Przekierowuje to 偶膮dania do serwer贸w antywirusowych na inn膮 stron臋.

Robak pobiera plik z nast臋puj膮cego odsy艂acza:

http://www.****girl.com/1.exe

i zapisuje go jako:

%WinDir%1.exe

Nast臋pnie uruchamia ten plik w celu wykonania.

W momencie tworzenie tego opisu, odno艣nik ten nie dzia艂a艂.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka (mo偶e nazywa膰 si臋 "Logo1.exe").
  2. Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
  3. Usu艅 nast臋puj膮cy parametr z rejestru systemowego

    [HKLMSOFTWARESoftDownloadWWW]

  4. Usu艅 nast臋puj膮ce pliki:
    %WorkDir%virDll.dll
    %WinDir%Logo1_.exe
    %WinDir%1.exe
    
  5. Zmodyfikuj plik %System%driversetchosts przy u偶yciu standardowej aplikacji (np. Notepad). Usu艅 ci膮gi dodane przez robaka. Oryginalny plik hosts posiada nast臋puj膮c膮 zawarto艣膰:
       
    # Copyright (c) 1993-1999 Microsoft Corp. #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each # entry 
    should be kept on an individual line. The IP address should # be placed in 
    the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one # space.
    #
    # Additionally, comments (such as these) may be inserted on individual # lines or 
    following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host
    127.0.0.1 localhost
    
  6. Usu艅 wszystkie kopie robaka z dysku twardego.
  7. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).
W32/Generic.Delphi.b (McAfee),   W32.Looked.B (Symantec),   Win32.HLLW.Viking (Doctor Web),   W32/LegMir-Z (Sophos),   PE_LOOKED.B (Trend Micro),   PSW.Lineage.R (Grisoft),   Win32.Worm.Viking.A (SOFTWIN),   Trj/Lineage.L (Panda),   Win32/Viking.A (Eset)