Nombre:Worm/Sohanad.AE
Descubierto:22/02/2007
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:185.400 Bytes
Suma de control MD5:cd497af9276785a01a96daf515c4f0a1
Versión del VDF:6.37.01.140 - jueves 22 de febrero de 2007
Versión del IVDF:6.37.01.140 - jueves 22 de febrero de 2007

 General Método de propagación:
   • Messenger


Alias:
   •  F-Secure: IM-Worm.Win32.Sohanad.ae
   •  Eset: Win32/Sohanad.AE


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://st83.startlogic.com/**********/Gallery/albums/data/YMworm.exe
El fichero está guardado en el disco duro en: %SYSDIR%\svchost.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://st83.startlogic.com/**********/Gallery/albums/data/worm2007.exe
El fichero está guardado en el disco duro en: %SYSDIR%\svchost32.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messenger = %SYSDIR%\svchost32.exe
   • Task Manager = %SYSDIR%\svchost.exe



Modifica las siguientes claves del registro:

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   Valor anterior:
   • content url = %configuración definida por el usuario%
   Nuevo valor:
   • content url = http://quicknews.**********

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   Valor anterior:
   • content url = %configuración definida por el usuario%
   Nuevo valor:
   • content url = http://quicknews.**********

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

La página de inicio de Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • Start Page = %configuración definida por el usuario%
   Nuevo valor:
   • Start Page = http://quicknews.**********

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Nuevo valor:
   • Homepage = dword:00000001

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NoRun = dword:00000001

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Yahoo Messenger


A:
Todas las entradas en la lista de contactos.


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • hot pics this week http://quicknews.**********/hot.jpg :x

   • never click into the links like something in this image http://quicknews.**********/dontclick.jpg
     :-S !!!

   • ;) 1 of my vacation pictures http://quicknews.**********/vacation2.jpg <:-P

   • Do you realize who is in this image: http://quicknews.**********/who.jpg . Just think for a moment and tell me soon ;))

   • My pics http://quicknews.**********/mypics.jpg b-( <<

   • :D who is beside you in this pic http://quicknews.**********/friendpic1.jpg so good-looking

   • Miss World 2006: http://quicknews.**********/MissWorld.jpg !!


El mensaje recibido puede tener la apariencia siguiente:



 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Gherman el viernes 30 de marzo de 2007
Descripción actualizada por Andrei Gherman el viernes 30 de marzo de 2007

Volver . . . .