Nume:Worm/Sohanad.AE
Descoperit pe data de:22/02/2007
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:185.400 Bytes
MD5:cd497af9276785a01a96daf515c4f0a1
Versiune VDF:6.37.01.140 - giovedì 22 febbraio 2007
Versiune IVDF:6.37.01.140 - giovedì 22 febbraio 2007

 General Metoda de raspandire:
   • Messenger


Alias:
   •  F-Secure: IM-Worm.Win32.Sohanad.ae
   •  Eset: Win32/Sohanad.AE


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://st83.startlogic.com/**********/Gallery/albums/data/YMworm.exe
Fisierul este stocat pe hard disc la: %SYSDIR%\svchost.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://st83.startlogic.com/**********/Gallery/albums/data/worm2007.exe
Fisierul este stocat pe hard disc la: %SYSDIR%\svchost32.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messenger = %SYSDIR%\svchost32.exe
   • Task Manager = %SYSDIR%\svchost.exe



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   Vechea valoare:
   • content url = %setarile utilizatorului%
   Noua valoare:
   • content url = http://quicknews.**********

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   Vechea valoare:
   • content url = %setarile utilizatorului%
   Noua valoare:
   • content url = http://quicknews.**********

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Pagina de start in Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Vechea valoare:
   • Start Page = %setarile utilizatorului%
   Noua valoare:
   • Start Page = http://quicknews.**********

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Noua valoare:
   • Homepage = dword:00000001

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • NoRun = dword:00000001

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger


Catre:
Toate intrarile din lista de contacte.


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • hot pics this week http://quicknews.**********/hot.jpg :x

   • never click into the links like something in this image http://quicknews.**********/dontclick.jpg
     :-S !!!

   • ;) 1 of my vacation pictures http://quicknews.**********/vacation2.jpg <:-P

   • Do you realize who is in this image: http://quicknews.**********/who.jpg . Just think for a moment and tell me soon ;))

   • My pics http://quicknews.**********/mypics.jpg b-( <<

   • :D who is beside you in this pic http://quicknews.**********/friendpic1.jpg so good-looking

   • Miss World 2006: http://quicknews.**********/MissWorld.jpg !!


Mesajele primite pot arata astfel:



 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Andrei Gherman su venerdì 30 marzo 2007
Descrizione aggiornata da Andrei Gherman su venerdì 30 marzo 2007

Indietro . . . .