VIRUS: WIN32/VIKING.CW

Alias :

Viking.CW,MalwareScope.Worm.Viking.3,TR/Crypt.NSPM.Gen, Trojan.Crypt.NSPM.Gen,Trojan/Worm,Trojan-PSW.Win32.Nilage.ara, Viking.gen,W32.Looked.BK,W32/Viking.gen1,W32/Viking.JZ,W32/Viking.jz, W32/Viking.SL,Win32.HLLP.Viking.IJ,Win32.HLLW.Gavir.54, Win32.Worm.Viking.IZ,Win32/Looked.HT,Win32/Viking.CW, Win32/Viking.Gen, Win32:Tibs-ADO,Worm.Win32.Viking.jz,Worm/Delf.BJY

Tipo: Gusano de Internet

Fecha: 04/04/2007

Tamaño: 180, 172 Bytes

Origen: Desconocido

INFORMACION :
Gusano y troyano que se propaga a través de recursos compartidos en redes, intenta infectar archivos .EXE, y puede modificar las configuraciones de seguridad de Windows para permitir la descarga y ejecución de archivos remotos.

CARACTERISTICAS :
Cuando se ejecuta, crea los siguientes archivos:

c:\windows\logo1_.exe
c:\windows\uninstall\rundl132.exe
[carpeta actual]\richdll.dll
\TEMP\$$a5.bat
\TEMP\$$ab.bat
También crea las siguientes entradas para ejecutarse en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows NT
\CurrentVersion\Windows
load = “c:\windows\uninstall\rundl132.exe”

HKLM\SOFTWARE\Soft\DownloadWWW
auto = “1″

Cada vez que se ejecuta, intentará inyectar el archivo “richdll.dll” en cada proceso activo de Internet Explorer o Windows Explorer.

También intentará descargar archivos de diferentes sitios de Internet, los que suplantarán los creados antes por el troyano.

Buscará luego archivos .EXE en todas las unidades de disco de la C a la Y inclusive, para infectarlos, agregando su código al comienzo de los mismos.

Las siguientes carpetas están excluidas de su búsqueda, y sus archivos no serán infectados:

Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN
MSN Gamin Zone
NetMeeting
Outlook Express
Program Files
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt

El troyano envía paquetes ICMP a direcciones IP de una posible red local (192.168.0.30 y 192.168.8.1), y también a direcciones IP dentro del rango de la IP actual del equipo infectado.

Intentará abrir las siguientes carpetas compartidas en otros equipos dentro del rango de las direcciones que respondan, siempre que tengan como usuario “administrator” y una contraseña en blanco (solo Enter):

\\admin$
\\ipc$

Si la conexión es exitosa, se copiará en dichas carpetas.

También se copia en todas las carpetas compartidas que tengan usuario y contraseña en blanco.

Puede infectar los archivos .EXE que encuentre en dichas carpetas.

El troyano intentará detener el siguiente servicio:

Kingsoft AntiVirus Service

También intentará detener los siguientes procesos, relacionados con otras aplicaciones de seguridad:

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
mcshield.exe
RavMon.exe
RavMon.exe
Ravmond.EXE
regsvc.exe

INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna “Nombre”, la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:

HKCU\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.

Saludos!! TequilaGT