Worm.Win32.Viking.a
Po uruchomieniu robak kopiuje sw贸j plik wykonywalny do g艂贸wnego foldera systemu Windows:
%WinDir%Logo1_.exe
Robak wydobywa r贸wnie偶 ze swojego cia艂a do foldera roboczego nast臋puj膮cy plik:
%WorkDir%VirDll.dll – plik ten ma rozmiar 17 920 bajt贸w.
Robak tworzy nast臋puj膮cy klucz rejestru i zapisuje do niego swoj膮 konfiguracj臋:
Robak infekuje pliki z rozszerzeniem .exe na wszystkich sta艂ych dyskach i we wszystkich folderach sieciowych, kt贸re s膮 udost臋pnione do zapisu z wyj膮tkiem plik贸w w folderach, kt贸rych nazwy zawieraj膮 nast臋puj膮ce ci膮gi:
system system32 windows Documents and Settings System Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShield Installation Information Microsoft Frontpage Movie Maker MSN Gaming Zone
Robak nie infekuje r贸wnie偶 plik贸w, kt贸re s膮 wi臋ksze ni偶 10 485 760 bajt贸w.
Robak zapisuje sw贸j plik wykonywalny na pocz膮tku infekowanego pliku, przesuwaj膮c w d贸艂 oryginaln膮 zawarto艣膰 pliku.
Robak ko艅czy r贸wnie偶 nast臋puj膮ce procesy:
EGHOST.EXE MAILMON.EXE KAVPFW.EXE KWatchUI.EXE IPARMOR.EXE RavMon.exe
Uruchamia nast臋puj膮ce polecenie:
net stop "Kingsoft AntiVirus Service"
Robak dodaje poni偶sze ci膮gi do nast臋puj膮cego pliku:
%System%driversetchosts 66.197.186.149 www.hinet.net 66.197.186.149 www.pchome.com.tw 66.197.186.149 www.msn.com.tw 66.197.186.149 www.yam.com 66.197.186.149 www.google.com.tw 66.197.186.149 www.gamer.com.tw 66.197.186.149 www.taiwankiss.com 66.197.186.149 www.sina.com.tw 66.197.186.149 www.so-net.net.tw 66.197.186.149 www.url.com.tw 66.197.186.149 www.uhome.net 66.197.186.149 www.gamania.com 66.197.186.149 www.104.com.tw 66.197.186.149 www.tp.edu.tw 66.197.186.149 www.seed.net.tw 66.197.186.149 www.tw18.com 66.197.186.149 www.gamebase.com.tw 66.197.186.149 www.hello.com.tw 66.197.186.149 www.taiwandns.com 66.197.186.149 www.ithome.com.tw 66.197.186.149 www.cartoonnetwork.com.tw 66.197.186.149 bubble.com.tw 66.197.186.149 tw.ebay.com 66.197.186.149 www.microsoft.com 66.197.186.149 www.oc-gamer.com 66.197.186.149 www.igame.com.tw 66.197.186.149 www.funtown.com.tw 66.197.186.149 www.softstar.com.tw 66.197.186.149 service.gamania.com 66.197.186.149 www.gamezone.idv.tw 66.197.186.149 www.ggame.com.tw 66.197.186.149 www.gamestation.com.tw 66.197.186.149 www.lineage2.com.tw 66.197.186.149 tw.games.yahoo.com 66.197.186.149 www.iogc.com.tw 66.197.186.149 www.transakt.com.tw 66.197.186.149 www.softking.com.tw 66.197.186.149 www.sex141.com 66.197.186.149 service.gamania.com 66.197.186.149 www.x-legend.com.tw 66.197.186.149 www.lineage2.com.tw 66.197.186.149 dir.pchome.com.tw 66.197.186.149 groups.msn.com 66.197.186.149 www.microsoft.com 66.197.186.149 www.trendmicro.com 66.197.186.149 www.symantec.com 66.197.186.149 www.trend.com.tw 66.197.186.149 toget.pchome.com.tw 66.197.186.149 www.y2000.com.tw 66.197.186.149 www.jiangmin.com 66.197.186.149 liveupdate.symantecliveupdate.com 66.197.186.149 update.symantec.com 66.197.186.149 www.kaspersky.com 66.197.186.149 www.kaspersky.com.tw 66.197.186.149 www.pandasecurity.com 66.197.186.149 www.pandasoftware.com 66.197.186.149 www.rising-global.com 66.197.186.149 www.rising.com.cn 66.197.186.149 www.rising-hk.com 66.197.186.149 www.kingsoft.net 66.197.186.149 db.kingsoft.com 66.197.186.149 scan.kingsoft.com 66.197.186.149 www.antivirus.com 66.197.186.149 www.pc-cillin.com 66.197.186.149 www.pc-cillin.com.tw 66.197.186.149 online.rising.com.cn 66.197.186.149 www.duba.net 66.197.186.149 online.jiangmin.com 66.197.186.149 online.kingsoft.net 66.197.186.149 www.ahn.com.cn 66.197.186.149 www.giga.net.tw 66.197.186.149 www.etwebs.com 66.197.186.149 www.kgex.com.tw 66.197.186.149 www.cht.com.tw 66.197.186.149 www.hib2b.com.tw 66.197.186.149 www.onlinenet.com.tw 66.197.186.149 www.apbb.com.tw 66.197.186.149 www.gigigaga.com 66.197.186.149 www.anet.net.tw 66.197.186.149 www.hichannel.com.tw 66.197.186.149 www.apbw.com 66.197.186.149 www.cablehome.com.tw 66.197.186.149 www.gigatv.com.tw 66.197.186.149 www.postadult.com 66.197.186.149 www.gaultier-x.com 66.197.186.149 www.xxxpanda.com 66.197.186.149 ejokeimg.pchome.com.tw 66.197.186.149 bbs.sina.com.tw 66.197.186.149 www.girl-tw.com 66.197.186.149 www.kuro.com 66.197.186.149 www.kuro.com.tw 66.197.186.149 www.taconet.com.tw 66.197.186.149 www.taiwan.com 66.197.186.149 times.hinet.net 66.197.186.149 windowsupdate.microsoft.com 66.197.186.149 update2.avp.ch 66.197.186.149 downloads1.kaspersky-labs.com
Przekierowuje to 偶膮dania do serwer贸w antywirusowych na inn膮 stron臋.
Robak pobiera plik z nast臋puj膮cego odsy艂acza:
http://www.****girl.com/1.exe
i zapisuje go jako:
%WinDir%1.exe
Nast臋pnie uruchamia ten plik w celu wykonania.
W momencie tworzenie tego opisu, odno艣nik ten nie dzia艂a艂.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu robaka (mo偶e nazywa膰 si臋 "Logo1.exe").
- Usu艅 oryginalny plik robaka (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮cy parametr z rejestru systemowego
[HKLMSOFTWARESoftDownloadWWW] - Usu艅 nast臋puj膮ce pliki:
%WorkDir%virDll.dll %WinDir%Logo1_.exe %WinDir%1.exe
- Zmodyfikuj plik %System%driversetchosts przy u偶yciu standardowej aplikacji (np. Notepad). Usu艅 ci膮gi dodane przez robaka. Oryginalny plik hosts posiada nast臋puj膮c膮 zawarto艣膰:
# Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost
- Usu艅 wszystkie kopie robaka z dysku twardego.
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).