Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Sohanad.bm
La date de la découverte:19/11/2008
Type:Ver
En circulation:Non
Infections signalées Faible a moyen
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:501.017 Octets
Somme de contrôle MD5:eb4215326d739ef7393270fb48f6dbcb
Version IVDF:7.01.00.110 - mercredi 19 novembre 2008

 Général Méthodes de propagation:
   • Le réseau local
   • Programme de messagerie


Les alias:
   •  Kaspersky: IM-Worm.Win32.Sohanad.bm
   •  F-Secure: IM-Worm.Win32.Sohanad.bm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Grisoft: I-Worm/Sohanad.J
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe



Le fichier suivant est créé:

%WINDIR%\Tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://nhatquanglan2.0catch.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\setting.ini

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"



Les clés de registre suivantes sont ajoutée:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%tous les dossiers partagés%\New Folder.exe"



Les clés de registre suivantes sont changées:

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • NofolderOptions=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • NofolderOptions=dword:00000001

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • DisableTaskMgr=%réglages définis par l'utilisateur%
   • DisableRegistryTools=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Yahoo Messenger


A:
Tous les entrés de la liste de contacts:


Message
Le message envoyé ressemble à un des suivants:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com


Le message reçu aurait l'air du message suivant:


 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans le partage réseau suivant:
   • %tous les dossiers partagés%\New Folder.exe

Description insérée par Adriana Popa le mardi 10 février 2009
Description mise à jour par Adriana Popa le mercredi 11 février 2009

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.