Description complète

Nume:	Worm/Sohanad.bm
Descoperit pe data de:	19/11/2008
Tip:	Vierme
ITW:	Nu
Numar infectii raportate:	Scazut spre mediu
Potential de raspandire:	Mediu spre ridicat
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	501.017 Bytes
MD5:	eb4215326d739ef7393270fb48f6dbcb
Versiune IVDF:	7.01.00.110 - mercredi 19 novembre 2008

General Metode de raspandire:
   • Reteaua locala
   • Messenger

Alias:
   • Kaspersky: IM-Worm.Win32.Sohanad.bm
   • F-Secure: IM-Worm.Win32.Sohanad.bm
   • Sophos: W32/SillyFDC-G
   • Panda: W32/Hakaglan.A.worm
   • Grisoft: I-Worm/Sohanad.J
   • Eset: Win32/Hakaglan.AH
   • Bitdefender: Trojan.AutoIt.TD

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier
   • Reduce setarile de securitate
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe

Este creat fisierul:

– %WINDIR%\Tasks\At1.job Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.

Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://nhatquanglan2.0catch.com/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\setting.ini

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"

Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%toate directoarele share%\New Folder.exe"

Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Vechea valoare:
   • NofolderOptions=%setarile utilizatorului%
   Noua valoare:
   • NofolderOptions=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Vechea valoare:
   • DisableTaskMgr=%setarile utilizatorului%
   • DisableRegistryTools=%setarile utilizatorului%
   Noua valoare:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger

Catre:
Toate intrarile din lista de contacte.

Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com

Mesajul primit poate arata astfel:

Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:

Creeaza o copie malware in urmatorul share de retea:
• %toate directoarele share%\New Folder.exe

Description insérée par Adriana Popa le mardi 10 février 2009
Description mise à jour par Adriana Popa le mercredi 11 février 2009

Retour . . . .

Protection avancée pour votre PC

Produits gratuits

Les plus populaires

Tous les produits

Offres groupées

Stations de travail

Server

Offres groupées

Mail Gateways

Web Gateways

Plateformes collaboratives

Particuliers

Entreprises

Virus Lab

Support avancé

Programme Avira Partner

Particuliers

Entreprises

Une simple évaluation vous suffit ?

Manuels et outils