DR/Sohanad.T.2 - Dropper

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	DR/Sohanad.T.2
Descubierto:	06/05/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	239.905 Bytes
Suma de control MD5:	790Ddc293c8f45ec337292cb57a3ee41
Versión del VDF:	6.38.01.94
Versión del IVDF:	6.38.01.98

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: W32/YahLover.worm
   • TrendMicro: WORM_SOHANAD.BO
   • Bitdefender: Worm.IM.Agent.G

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta un fichero dañino
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe
   • %Directorio de redes utilizado comunmente%\SSVICHOSST.exe
   • %Directorio de redes utilizado comunmente%\%todos los subdirectorios%\%todos los subdirectorios%.exe

Crea el siguiente fichero:

– %WINDIR%\Tasks\At1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.
– %SYSDIR%\autorun.ini

Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://nhatquanglan3.t35.com/**********
   • http://nhatquanglan4.t35.com/**********
El fichero está guardado en el disco duro en: %SYSDIR%\setting.ini This file may contain further download locations (es)

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSVICHOSST.exe"

Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="\New Folder.exe"

Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NofolderOptions=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • Shell="Explorer.exe SSVICHOSST.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Nuevo valor:
   • AtTaskMaxHours=dword:00000000

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta una copia suya en la siguiente carpeta compartida en la red:
• IPC$

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Alexandru Dinu el Wed, 03 Oct 2007 16:55 (GMT+1)
Descripción actualizada por Alexandru Dinu el Wed, 17 Oct 2007 10:21 (GMT+1)

» About Malware
» About Phishing
» Virus "In the Wild"

« volver