Descripción completa

Nombre:	Worm/Sohanat.AX
Descubierto:	14/02/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	185.542 Bytes
Suma de control MD5:	019491172aa082ca33a76793a651a09a
Versión del VDF:	6.37.01.105
Versión del IVDF:	6.37.01.106 - viernes 16 de febrero de 2007

General Método de propagación:
   • Messenger

Alias:
   • F-Secure: IM-Worm.Win32.Sohanad.u
   • Sophos: W32/Sohana-K
   • Grisoft: Autoit.Y
   • Eset: Win32/Sohanad.U

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga un fichero dañino
   • Suelta un fichero dañino
   • Modificaciones en el registro

Ficheros Intenta descargar un fichero:

– La dirección es la siguiente:
• http://64.26.25.75/**********
El fichero está guardado en el disco duro en: %WINDIR%\svchost.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/VB.CK.9

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SVCHOST"="%WINDIR%\svchost.exe"
   • "Task Manager"="%WINDIR%\svhost32.exe"

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • "DisableConfig"="1"

– [HKCU\Software\Google\GoogleToolbarNotifier]
   • "KeepDS"=dword:00000000
   • "ShowTrayIcon"=dword:00000000

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   • "content url"="http://zinblog.com"

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • "content url"="http://zinblog.com"

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "Homepage"=dword:00000001

Modifica las siguientes claves del registro:

La página de inicio de Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Start Page"="http://zinblog.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "Search Bar"="http://zinblog.com"
   • "Use Search Asst"="no"
   • "Search Page"="http://zinblog.com"

– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
   Nuevo valor:
   • "(Default)"="http://zinblog.com"

– [HKCU\Software\Microsoft\Search Assistant]
   Nuevo valor:
   • "DefaultSearchURL"="http://zinblog.com"

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NoRun"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Messenger – Yahoo Messenger
Todas las entradas en la lista de contactos.

Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • This is my one-off Xmas e-card for you ^_^ http://zinblog.com/?id=ecard =)) This message was certified by %yahoo user%

   • making money online never be easier : http://unitedreporters.org/?id=tips >:D< This message was certified by %yahoo user%, no worm

   • Vote for our Miss beauty today !!! http://unitedreporters.org/?id=miss_world :x:x:x:x:x This message was certified by %yahoo user%, no worm

   • DIY dynamite from Whisky, Coke and Mentos : http://zinblog.com/?id=dynamite << This message was certified by %yahoo user%, no worm

   • Fuck !!! X-( http://zinblog.com/?id=password << This message was certified by %yahoo user%, no worm

   • I made 10 gifts for the first 10 people post comments on my own page : http://lucyblog.com ^_^

   • Be careful. There’ll be earthquake tonight !!! http://unitedreporters.org/?id=warning << This message was certified by %yahoo user%, no worm

   • My new personal website : http://zinblog.com c0ol !!!

   • Microsoft to release 2007 free-of-charge packs of Winsdows Vista for its first 2007 online registered users: http://unitedreporters.org/?id=ms << This message was certified by %yahoo user%, no worm

   • wtf is this ? wanna give me a shit ? http://unitedreporters.org/?id=news X-(

   • Breaking news : Osama Bin Laden has been arrested !! http://unitedreporters.org/?news_id=18388 This message was certified by %yahoo user%, no worm

   • Yahoo to charge fee for its YM service http://zinblog.com/?id=ym This message was certified by %yahoo user%, no worm

   • OMG ! She is really beautiful :x http://zinblog.com/DSC00273.JPG This message was certified by %yahoo user%, no worm

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

El mensaje recibido puede tener la apariencia siguiente:

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Ernest Szocs el jueves 15 de febrero de 2007
Descripción actualizada por Ernest Szocs el lunes 19 de febrero de 2007

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas