Nom:Worm/Sohanad.S
La date de la découverte:01/09/2008
Type:Ver
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:315.905 Octets
Somme de contrôle MD5:37091432f5e73c8f0E407c10a0b0b84f
Version VDF:7.00.06.99
Version IVDF:7.00.06.100 - lundi 1 septembre 2008

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Symantec: W32.Svich
   •  Kaspersky: Trojan-Downloader.Win32.AutoIt.aa
   •  TrendMicro: WORM_SOHANAD.EI
   •  F-Secure: Trojan-Downloader.Win32.AutoIt.aa
   •  Sophos: W32/Sohana-Y
   •  Panda: W32/Sohanat.BY.worm
   •  Eset: Win32/Hakaglan.C
   •  Bitdefender: Trojan.Downloader.Autoit.V


Plateformes / Systèmes d'exploitation:
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\SSCVIIHOST.exe
   • %WINDIR%\SSCVIIHOST.exe
   • %SYSDIR%\blastclnnn.exe



Les fichiers suivants sont créés:

– Fichier inoffensif:
   • %SYSDIR%\setting.ini

%WINDIR%\Tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.
%SYSDIR%\autorun.ini Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Autorun.A.2




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • setting3.**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://www.freewebs.com/se**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSCVIIHOST.exe"



Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • NofolderOptions=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   La nouvelle valeur:
   • Shell="Explorer.exe SSCVIIHOST.exe"

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger


A:
Tous les entrés de la liste de contacts:


Le message reçu aurait l'air du message suivant:


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Alexandru Dinu le mardi 9 septembre 2008
Description mise à jour par Alexandru Dinu le mardi 9 septembre 2008

Retour . . . .