Name:Worm/Sohanad.AS
Entdeckt am:20/02/2008
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Nein
Dateigröße:~320.000 Bytes
IVDF Version:7.00.02.163 - Mittwoch, 20. Februar 2008

 General Verbreitungsmethode:
   • Messenger


Aliases:
   •  Kaspersky: IM-Worm.Win32.Sohanad.as
   •  F-Secure: IM-Worm.Win32.Sohanad.as
   •  Sophos: W32/SillyFDC-AE
   •  Eset: Win32/Hakaglan.G worm
   •  Bitdefender: Win32.Worm.Sohanad.NBL


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\SCVVHSOT.exe
   • %WINDIR%\SCVVHSOT.exe
   • %SYSDIR%\blastclnnn.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\setting.ini

%SYSDIR%\autrun.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [Autorun]
     Open=SCVVHSOT.exe
     Shellexe cute=SCVVHSOT.exe
     Shell\Open\command=SCVVHSOT.exe
     Shell=Open




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://www.freewebs.com/setting3/**********
   • http://setting3.9999mb.com/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SCVVHSOT.exe"



Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • AtTaskMaxHours=dword:00000000



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • DisableTaskMgr=%Einstellungen des Benutzers%
   • DisableRegistryTools=%Einstellungen des Benutzers%
   Neuer Wert:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Alter Wert:
   • NofolderOptions=%Einstellungen des Benutzers%
   Neuer Wert:
   • NofolderOptions=dword:00000001

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Yahoo Messenger


An:
Alle Einträge aus der Kontaktliste.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Alexander Neth am Freitag, 20. Juni 2008
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 23. Juni 2008

zurück . . . .