Nume:Worm/Sohanad.AS
Descoperit pe data de:20/02/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Nu
Marime:~320.000 Bytes
Versiune IVDF:7.00.02.163 - mercoledì 20 febbraio 2008

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Sohanad.as
   •  F-Secure: IM-Worm.Win32.Sohanad.as
   •  Sophos: W32/SillyFDC-AE
   •  Eset: Win32/Hakaglan.G worm
   •  Bitdefender: Win32.Worm.Sohanad.NBL


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Descarca fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\SCVVHSOT.exe
   • %WINDIR%\SCVVHSOT.exe
   • %SYSDIR%\blastclnnn.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\setting.ini

– %SYSDIR%\autrun.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • [Autorun]
     Open=SCVVHSOT.exe
     Shellexe cute=SCVVHSOT.exe
     Shell\Open\command=SCVVHSOT.exe
     Shell=Open




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://www.freewebs.com/setting3/**********
   • http://setting3.9999mb.com/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SCVVHSOT.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • AtTaskMaxHours=dword:00000000



Urmatoarele chei din registri sunt modificate:

Dezactivarea programelor Regedit si Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Vechea valoare:
   • DisableTaskMgr=%setarile utilizatorului%
   • DisableRegistryTools=%setarile utilizatorului%
   Noua valoare:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Diverse setari in Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Vechea valoare:
   • NofolderOptions=%setarile utilizatorului%
   Noua valoare:
   • NofolderOptions=dword:00000001

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger


Catre:
Toate intrarile din lista de contacte.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Alexander Neth su venerdì 20 giugno 2008
Descrizione aggiornata da Andrei Gherman su lunedì 23 giugno 2008

Indietro . . . .