Nom:Worm/Sohanad.AE
La date de la découverte:22/02/2007
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:185.400 Octets
Somme de contrôle MD5:cd497af9276785a01a96daf515c4f0a1
Version VDF:6.37.01.140 - jeudi 22 février 2007
Version IVDF:6.37.01.140 - jeudi 22 février 2007

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  F-Secure: IM-Worm.Win32.Sohanad.ae
   •  Eset: Win32/Sohanad.AE


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://st83.startlogic.com/**********/Gallery/albums/data/YMworm.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\svchost.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://st83.startlogic.com/**********/Gallery/albums/data/worm2007.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\svchost32.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messenger = %SYSDIR%\svchost32.exe
   • Task Manager = %SYSDIR%\svchost.exe



Les clés de registre suivantes sont changées:

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   L'ancienne valeur:
   • content url = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • content url = http://quicknews.**********

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   L'ancienne valeur:
   • content url = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • content url = http://quicknews.**********

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

La page de démarrage d'Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   L'ancienne valeur:
   • Start Page = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • Start Page = http://quicknews.**********

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   La nouvelle valeur:
   • Homepage = dword:00000001

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NoRun = dword:00000001

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger


A:
Tous les entrés de la liste de contacts:


Message
Le message envoyé ressemble à un des suivants:

   • hot pics this week http://quicknews.**********/hot.jpg :x

   • never click into the links like something in this image http://quicknews.**********/dontclick.jpg
     :-S !!!

   • ;) 1 of my vacation pictures http://quicknews.**********/vacation2.jpg <:-P

   • Do you realize who is in this image: http://quicknews.**********/who.jpg . Just think for a moment and tell me soon ;))

   • My pics http://quicknews.**********/mypics.jpg b-( <<

   • :D who is beside you in this pic http://quicknews.**********/friendpic1.jpg so good-looking

   • Miss World 2006: http://quicknews.**********/MissWorld.jpg !!


Le message reçu aurait l'air du message suivant:



 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le vendredi 30 mars 2007
Description mise à jour par Andrei Gherman le vendredi 30 mars 2007

Retour . . . .