¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Sohanad.T.2
Descubierto:06/05/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:239.905 Bytes
Suma de control MD5:790Ddc293c8f45ec337292cb57a3ee41
Versión del VDF:6.38.01.94
Versión del IVDF:6.38.01.98 - domingo, 6 de mayo de 2007

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: W32/YahLover.worm
   •  TrendMicro: WORM_SOHANAD.BO
   •  Bitdefender: Worm.IM.Agent.G


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe
   • %Directorio de redes utilizado comunmente%\SSVICHOSST.exe
   • %Directorio de redes utilizado comunmente%\%todos los subdirectorios%\%todos los subdirectorios%.exe



Crea el siguiente fichero:

%WINDIR%\Tasks\At1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.
%SYSDIR%\autorun.ini



Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://nhatquanglan3.t35.com/**********
   • http://nhatquanglan4.t35.com/**********
El fichero está guardado en el disco duro en: %SYSDIR%\setting.ini Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSVICHOSST.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="\New Folder.exe"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NofolderOptions=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • Shell="Explorer.exe SSVICHOSST.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Nuevo valor:
   • AtTaskMaxHours=dword:00000000

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
   • IPC$

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Alexandru Dinu el miércoles, 3 de octubre de 2007
Descripción actualizada por Alexandru Dinu el miércoles, 17 de octubre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.