Name:Worm/Sohanad.bm
Entdeckt am:19/11/2008
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:501.017 Bytes
MD5 Prüfsumme:eb4215326d739ef7393270fb48f6dbcb
IVDF Version:7.01.00.110 - Mittwoch, 19. November 2008

 General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Messenger


Aliases:
   •  Kaspersky: IM-Worm.Win32.Sohanad.bm
   •  F-Secure: IM-Worm.Win32.Sohanad.bm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Grisoft: I-Worm/Sohanad.J
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine Datei
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe



Es wird folgende Datei erstellt:

%WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://nhatquanglan2.0catch.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\setting.ini

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%alle freigegebenen Verzeichnisse%\New Folder.exe"



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • NofolderOptions=%Einstellungen des Benutzers%
   Neuer Wert:
   • NofolderOptions=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • DisableTaskMgr=%Einstellungen des Benutzers%
   • DisableRegistryTools=%Einstellungen des Benutzers%
   Neuer Wert:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Yahoo Messenger


An:
Alle Einträge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com


Die empfangene Nachricht könnte wie folgt aussehen:


 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.

Eine Kopie seiner selbst wird in folgender freigegebenen Netzressource erstellt:
   • %alle freigegebenen Verzeichnisse%\New Folder.exe

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 10. Februar 2009
Die Beschreibung wurde geändert von Adriana Popa am Mittwoch, 11. Februar 2009

zurück . . . .