Name:Worm/Sohanat.AX
Entdeckt am:14/02/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:185.542 Bytes
MD5 Prüfsumme:019491172aa082ca33a76793a651a09a
VDF Version:6.37.01.105
IVDF Version:6.37.01.106 - Freitag, 16. Februar 2007

 General Verbreitungsmethode:
   • Messenger


Aliases:
   •  F-Secure: IM-Worm.Win32.Sohanad.u
   •  Sophos: W32/Sohana-K
   •  Grisoft: Autoit.Y
   •  Eset: Win32/Sohanad.U


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Lädt eine schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://64.26.25.75/**********
Diese wird lokal gespeichert unter: %WINDIR%\svchost.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/VB.CK.9

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SVCHOST"="%WINDIR%\svchost.exe"
   • "Task Manager"="%WINDIR%\svhost32.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • "DisableConfig"="1"

– [HKCU\Software\Google\GoogleToolbarNotifier]
   • "KeepDS"=dword:00000000
   • "ShowTrayIcon"=dword:00000000

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   • "content url"="http://zinblog.com"

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • "content url"="http://zinblog.com"

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "Homepage"=dword:00000001



Folgende Registryschlüssel werden geändert:

Startseite des Internet Explorers:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Start Page"="http://zinblog.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Neuer Wert:
   • "Search Bar"="http://zinblog.com"
   • "Use Search Asst"="no"
   • "Search Page"="http://zinblog.com"

– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
   Neuer Wert:
   • "(Default)"="http://zinblog.com"

– [HKCU\Software\Microsoft\Search Assistant]
   Neuer Wert:
   • "DefaultSearchURL"="http://zinblog.com"

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • "NoRun"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Messenger – Yahoo Messenger
Alle Einträge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • This is my one-off Xmas e-card for you ^_^ http://zinblog.com/?id=ecard =)) This message was certified by %yahoo user%

   • making money online never be easier : http://unitedreporters.org/?id=tips >:D< This message was certified by %yahoo user%, no worm

   • Vote for our Miss beauty today !!! http://unitedreporters.org/?id=miss_world :x:x:x:x:x This message was certified by %yahoo user%, no worm

   • DIY dynamite from Whisky, Coke and Mentos : http://zinblog.com/?id=dynamite << This message was certified by %yahoo user%, no worm

   • Fuck !!! X-( http://zinblog.com/?id=password << This message was certified by %yahoo user%, no worm

   • I made 10 gifts for the first 10 people post comments on my own page : http://lucyblog.com ^_^

   • Be careful. There’ll be earthquake tonight !!! http://unitedreporters.org/?id=warning << This message was certified by %yahoo user%, no worm

   • My new personal website : http://zinblog.com c0ol !!!

   • Microsoft to release 2007 free-of-charge packs of Winsdows Vista for its first 2007 online registered users: http://unitedreporters.org/?id=ms << This message was certified by %yahoo user%, no worm

   • wtf is this ? wanna give me a shit ? http://unitedreporters.org/?id=news X-(

   • Breaking news : Osama Bin Laden has been arrested !! http://unitedreporters.org/?news_id=18388 This message was certified by %yahoo user%, no worm

   • Yahoo to charge fee for its YM service http://zinblog.com/?id=ym This message was certified by %yahoo user%, no worm

   • OMG ! She is really beautiful :x http://zinblog.com/DSC00273.JPG This message was certified by %yahoo user%, no worm

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.


Die empfangenen Nachrichten könnten wie folgt aussehen:



 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Ernest Szocs am Donnerstag, 15. Februar 2007
Die Beschreibung wurde geändert von Ernest Szocs am Montag, 19. Februar 2007

zurück . . . .