W32/Sohanad.R - Malware

A voir aussi

Brève description

Description complète

Statistiques

Nom:	W32/Sohanad.R
La date de la découverte:	19/07/2007
Type:	Ver
En circulation:	Oui
Infections signalées	Faible a moyen
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Non
Taille du fichier:	240.128 Octets
Version IVDF:	6.39.00.168

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: W32.Svich
   • Mcafee: W32/YahLover.worm virus
   • Kaspersky: Trojan-Downloader.Win32.AutoIt.aa
   • F-Secure: Trojan-Downloader.Win32.AutoIt.aa
   • Sophos: W32/Sohana-R
   • Panda: W32/Sohanat.BP.worm
   • VirusBuster: Trojan.DL.AutoIt.DO
   • Eset: Win32/Sohanad.NAK worm
   • Bitdefender: Worm.IM.Agent.G

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier malveillant
   • Il modifie des registres

Fichiers Il s'autocopie dans les emplacements suivants:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe

– %SYSDIR%\autorun.ini Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: INF/AutoRun.J

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://nhatquanglan3.t35.com/**********.nql
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\Content.IE5\%chaîne de caractères aléatoire%\setting[1].nql Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://nhatquanglan4.t35.com/**********.nql
Il est sauvegardé sur le disque dur local à l'emplacement: %temporary internet files%\Content.IE5\%chaîne de caractères aléatoire%\setting[1].nql

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\SSVICHOSST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe SSVICHOSST.exe"

Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • "shared"="\New Folder.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NofolderOptions"=dword:00000001

Les clés de registre suivantes sont changées:

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   La nouvelle valeur:
   • "AtTaskMaxHours"=dword:00000000

Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Voir la description brève ici.

Description inséré par Andreas Feuerstein sur Tue, 09 Sep 2008 14:24 (GMT+1)
Description mise à jour par Andreas Feuerstein sur Tue, 09 Sep 2008 15:30 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour