Worm/Sohanad.AS - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Sohanad.AS
Descubierto:	20/02/2008
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio-bajo
Fichero estático:	No
Tamaño:	~320.000 Bytes
Versión del IVDF:	7.00.02.163

General Método de propagación:
   • Messenger

Alias:
   • Kaspersky: IM-Worm.Win32.Sohanad.as
   • F-Secure: IM-Worm.Win32.Sohanad.as
   • Sophos: W32/SillyFDC-AE
   • Eset: Win32/Hakaglan.G worm
   • Bitdefender: Win32.Worm.Sohanad.NBL

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero
   • Descarga ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\SCVVHSOT.exe
   • %WINDIR%\SCVVHSOT.exe
   • %SYSDIR%\blastclnnn.exe

Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\setting.ini

– %SYSDIR%\autrun.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [Autorun]
     Open=SCVVHSOT.exe
     Shellexe cute=SCVVHSOT.exe
     Shell\Open\command=SCVVHSOT.exe
     Shell=Open

Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://www.freewebs.com/setting3/**********
   • http://setting3.9999mb.com/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SCVVHSOT.exe"

Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • DisableTaskMgr=%configuración definida por el usuario%
   • DisableRegistryTools=%configuración definida por el usuario%
   Nuevo valor:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor anterior:
   • NofolderOptions=%configuración definida por el usuario%
   Nuevo valor:
   • NofolderOptions=dword:00000001

Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Yahoo Messenger

A:
Todas las entradas en la lista de contactos.

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Alexander Neth el Fri, 20 Jun 2008 10:42 (GMT+1)
Descripción actualizada por Andrei Gherman el Mon, 23 Jun 2008 07:53 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver