Árulkodó nyomokat hagy a fájlokon a Viking.LO vírus

A Viking.LO vírus a helyi meghajtókon lévő, exe kiterjesztésű állományokkal kíméletlenül bánik, és azok feltérképezése után mindegyiken "nyomot hagy". A vírus csak egyes könyvtárakban található futtatható fájlokkal tesz kivételt, amelyeket érintetlenül hagy annak érdekében, hogy használható alkalmazás is maradjon a PC-n. Így például nem fertőzi meg az Internet Explorer, az Office, az Outlook Express és az MSN Messenger alkalmazásokhoz tartozó fájlokat.

Az Isidor Biztonsági Központ jelentése szerint a Viking.LO kapcsán nemcsak azzal a kockázati tényezővel kell számolni, amely a fájlok megfertőzésére vezethető vissza, hanem azzal is, hogy a vírus képes leállítani egyes biztonsági szoftverek működését. Mindemellett meghatározott távoli szerverekről különféle ártalmas programokat is képes letölteni, amelyek további kártékony műveleteket hajthatnak végre az érintett rendszereken.

Amikor a Viking.LO vírus elindul, akkor az alábbi műveleteket hatja végre:

1. Létrehozza a következő állományokat:
%windir%\rundl132.exe
%windir%\logo1_.exe
%windir%\dll.dll
[aktuális könyvtár]\[megfertőzött fájl neve].exe
%TEMP%\$$a[véletlenszerű karakterek].bat

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load="%windir%\rundl132.exe"
HKLM\SOFTWARE\Soft\DownloadWWW\auto="1"

3. Az összes helyi meghajtón minden exe kiterjesztésű fájlt megfertőz, kivétel azokat, amelyek az alábbi könyvtárakban találhatók:
Outlook Express
Windows Media Player
Internet Explorer
Program Files
Windows NT
WindowsUpdate
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
Recycled
MSN Gaming Zone
system
system32
windows
winnt
Documents and Settings
System Volume Information
 
4. Azokba a könyvtárakba, amelyekben fájlokat fertőzött meg, egy "_desktop.ini" állományt hoz létre.

5. Leállítja az alábbi folyamatokat (amennyiben azok futnak):
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
regsvc.exe
RavMon.exe
mcshield.exe

6. Leállítja a Kingsoft AntiVirus Services szolgáltatást, amennyiben az létezik.

7. Elrejti a Kaspersky Antivirus üzenetablakait.

8. Interneten letölt egy fájlt, amelyet az alábbiak szerint ment le:
"%windir%\dll.dll"

9. Megfertőzi az explorer.exe folyamatot.

10.  További fájlokat tölt le egy előre meghatározott távoli szerverről.