Nume:W32/Sohanad.R
Descoperit pe data de:19/07/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:240.128 Bytes
Versiune IVDF:6.39.00.168 - Donnerstag, 19. Juli 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: W32.Svich
   •  Mcafee: W32/YahLover.worm virus
   •  Kaspersky: Trojan-Downloader.Win32.AutoIt.aa
   •  F-Secure: Trojan-Downloader.Win32.AutoIt.aa
   •  Sophos: W32/Sohana-R
   •  Panda: W32/Sohanat.BP.worm
   •  VirusBuster: Trojan.DL.AutoIt.DO
   •  Eset: Win32/Sohanad.NAK worm
   •  Bitdefender: Worm.IM.Agent.G


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe

– %SYSDIR%\autorun.ini Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: INF/AutoRun.J




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://nhatquanglan3.t35.com/**********.nql
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%combinatie de caractere aleatoare%\setting[1].nql La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://nhatquanglan4.t35.com/**********.nql
Fisierul este stocat pe hard disc la: %temporary internet files%\Content.IE5\%combinatie de caractere aleatoare%\setting[1].nql

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\SSVICHOSST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe SSVICHOSST.exe"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NofolderOptions"=dword:00000001



Urmatoarele chei din registri sunt modificate:

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Noua valoare:
   • "AtTaskMaxHours"=dword:00000000

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Die Beschreibung wurde erstellt von Andreas Feuerstein am Dienstag, 9. September 2008
Die Beschreibung wurde geändert von Andreas Feuerstein am Dienstag, 9. September 2008

zurück . . . .