Worm.Win32.Viking.a

Материал из Total Malware Info

Перейти к: навигация, поиск

Worm.Win32.Viking.a Червь, распространяющий себя на жестком диске. Является приложением Windows (PE-EXE файл). Имеет размер 67 072 байт.

Инсталляция

Извлекает из своего тела файл в свою рабочую папку: 

%WorkDir%\virDll.dll – имеет размер 17 920 байт.

При запуске копирует свой исполняемый файл как : 

%WinDir%\Logo1_.exe

Деструктивная активность

Завершает процессы: 

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
KWatchUI.EXE
IPARMOR.EXE
RavMon.exe

Выполняет команду: 

net stop "Kingsoft AntiVirus Service"

Добавляет в файл 

%System%\drivers\hosts

следующие строки: 

66.197.186.149 www.hinet.net
66.197.186.149 www.pchome.com.tw
66.197.186.149 www.msn.com.tw
66.197.186.149 www.yam.com
66.197.186.149 www.google.com.tw
66.197.186.149 www.gamer.com.tw
66.197.186.149 www.taiwankiss.com
66.197.186.149 www.sina.com.tw
66.197.186.149 www.so-net.net.tw
66.197.186.149 www.url.com.tw
66.197.186.149 www.uhome.net
66.197.186.149 www.gamania.com
66.197.186.149 www.104.com.tw
66.197.186.149 www.tp.edu.tw
66.197.186.149 www.seed.net.tw
66.197.186.149 www.tw18.com
66.197.186.149 www.gamebase.com.tw
66.197.186.149 www.hello.com.tw
66.197.186.149 www.taiwandns.com
66.197.186.149 www.ithome.com.tw
66.197.186.149 www.cartoonnetwork.com.tw
66.197.186.149 bubble.com.tw
66.197.186.149 tw.ebay.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.oc-gamer.com
66.197.186.149 www.igame.com.tw
66.197.186.149 www.funtown.com.tw
66.197.186.149 www.softstar.com.tw
66.197.186.149 service.gamania.com
66.197.186.149 www.gamezone.idv.tw
66.197.186.149 www.ggame.com.tw
66.197.186.149 www.gamestation.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 tw.games.yahoo.com
66.197.186.149 www.iogc.com.tw
66.197.186.149 www.transakt.com.tw
66.197.186.149 www.softking.com.tw
66.197.186.149 www.sex141.com
66.197.186.149 service.gamania.com
66.197.186.149 www.x-legend.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 dir.pchome.com.tw
66.197.186.149 groups.msn.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.trendmicro.com
66.197.186.149 www.symantec.com
66.197.186.149 www.trend.com.tw
66.197.186.149 toget.pchome.com.tw
66.197.186.149 www.y2000.com.tw
66.197.186.149 www.jiangmin.com
66.197.186.149 liveupdate.symantecliveupdate.com
66.197.186.149 update.symantec.com
66.197.186.149 www.kaspersky.com
66.197.186.149 www.kaspersky.com.tw
66.197.186.149 www.pandasecurity.com
66.197.186.149 www.pandasoftware.com
66.197.186.149 www.rising-global.com
66.197.186.149 www.rising.com.cn
66.197.186.149 www.rising-hk.com
66.197.186.149 www.kingsoft.net
66.197.186.149 db.kingsoft.com
66.197.186.149 scan.kingsoft.com
66.197.186.149 www.antivirus.com
66.197.186.149 www.pc-cillin.com
66.197.186.149 www.pc-cillin.com.tw
66.197.186.149 online.rising.com.cn
66.197.186.149 www.duba.net
66.197.186.149 online.jiangmin.com
66.197.186.149 online.kingsoft.net
66.197.186.149 www.ahn.com.cn
66.197.186.149 www.giga.net.tw
66.197.186.149 www.etwebs.com
66.197.186.149 www.kgex.com.tw
66.197.186.149 www.cht.com.tw
66.197.186.149 www.hib2b.com.tw
66.197.186.149 www.onlinenet.com.tw
66.197.186.149 www.apbb.com.tw
66.197.186.149 www.gigigaga.com
66.197.186.149 www.anet.net.tw
66.197.186.149 www.hichannel.com.tw
66.197.186.149 www.apbw.com
66.197.186.149 www.cablehome.com.tw
66.197.186.149 www.gigatv.com.tw
66.197.186.149 www.postadult.com
66.197.186.149 www.gaultier-x.com
66.197.186.149 www.xxxpanda.com
66.197.186.149 ejokeimg.pchome.com.tw
66.197.186.149 bbs.sina.com.tw
66.197.186.149 www.girl-tw.com
66.197.186.149 www.kuro.com
66.197.186.149 www.kuro.com.tw
66.197.186.149 www.taconet.com.tw
66.197.186.149 www.taiwan.com
66.197.186.149 times.hinet.net
66.197.186.149 windowsupdate.microsoft.com
66.197.186.149 update2.avp.ch
66.197.186.149 downloads1.kaspersky-labs.com

тем самым перенаправляет запросы антивирусных программ к серверам обновлений на посторонний сайт.

Заражает файлы с расширением .exe, которые являются приложениями Windows (PE-EXE файлы) на всех фиксированных дисках и доступных для записи сетевых папках за исключением тех, что находятся в папках, имена которых содержат следующие строки: 

system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
\Program Files\
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

Так же не заражаются файлы, размером больше 10 485 760 байт. При заражении червь записывает свой исполняемый файл в начало заражаемого файла, а оригинальное содержимое сдвигает и записывает после тела собственного исполняемого файла.

Создает ключ реестра в котором хранит свои настройки: 

[HKLM\SOFTWARE\Soft\DownloadWWW]

Скачивает файл по следующей ссылке: 

http://www.t******l.com/1.exe (на момент написания описания ссылка не работала)

и сохраняет его как: 

%WinDir%\1.exe

после чего запускает.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи ("Диспетчера задач") завершить процесс червя(предположительное имя Logo1_.exe).
  2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить ключ реестра (как работать с реестром?):
    4. [HKLM\SOFTWARE\Soft\DownloadWWW]
  4. Удалить файлы:
    5. %WorkDir%\virDll.dll
%WinDir%\Logo1_.exe
%WinDir%\1.exe
  5. Восстановить содержимое файла %System%\drivers\hosts, обычно оно выглядит так:
    6. # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost
  6. Удалить все копии червя на жестком диске.
Источник — «http://www.totalmalwareinfo.com/rus/Worm.Win32.Viking.a»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.