Name:DR/Sohanad.T.2
Entdeckt am:06/05/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:239.905 Bytes
MD5 Prüfsumme:790Ddc293c8f45ec337292cb57a3ee41
VDF Version:6.38.01.94
IVDF Version:6.38.01.98 - Sonntag, 6. Mai 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: W32/YahLover.worm
   •  TrendMicro: WORM_SOHANAD.BO
   •  Bitdefender: Worm.IM.Agent.G


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe
   • %gemeinsam genutztes Netzwerkverzeichnis%\SSVICHOSST.exe
   • %gemeinsam genutztes Netzwerkverzeichnis%\%alle Unterverzeichnisse%\%alle Unterverzeichnisse%.exe



Es wird folgende Datei erstellt:

%WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.
%SYSDIR%\autorun.ini



Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://nhatquanglan3.t35.com/**********
   • http://nhatquanglan4.t35.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\setting.ini Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSVICHOSST.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="\New Folder.exe"



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Neuer Wert:
   • NofolderOptions=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Neuer Wert:
   • Shell="Explorer.exe SSVICHOSST.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Neuer Wert:
   • AtTaskMaxHours=dword:00000000

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgender freigegebenen Netzressource erstellt:
   • IPC$

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Alexandru Dinu am Mittwoch, 3. Oktober 2007
Die Beschreibung wurde geändert von Alexandru Dinu am Mittwoch, 17. Oktober 2007

zurück . . . .