Nume:DR/Sohanad.T.2
Descoperit pe data de:06/05/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:239.905 Bytes
MD5:790Ddc293c8f45ec337292cb57a3ee41
Versiune VDF:6.38.01.94
Versiune IVDF:6.38.01.98 - domingo 6 de mayo de 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: W32/YahLover.worm
   •  TrendMicro: WORM_SOHANAD.BO
   •  Bitdefender: Worm.IM.Agent.G


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe
   • %directoare partajate din retea%\SSVICHOSST.exe
   • %directoare partajate din retea%\%toate subdirectoarele%\%toate subdirectoarele%.exe



Este creat fisierul:

– %WINDIR%\Tasks\At1.job Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.
– %SYSDIR%\autorun.ini



Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://nhatquanglan3.t35.com/**********
   • http://nhatquanglan4.t35.com/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\setting.ini Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSVICHOSST.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="\New Folder.exe"



Urmatoarele chei din registri sunt modificate:

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • NofolderOptions=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • Shell="Explorer.exe SSVICHOSST.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Noua valoare:
   • AtTaskMaxHours=dword:00000000

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
   • IPC$

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descripción insertada por Alexandru Dinu el miércoles 3 de octubre de 2007
Descripción actualizada por Alexandru Dinu el miércoles 17 de octubre de 2007

Volver . . . .