Nume:Worm/Sohanad.S
Descoperit pe data de:01/09/2008
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:315.905 Bytes
MD5:37091432f5e73c8f0E407c10a0b0b84f
Versiune VDF:7.00.06.99
Versiune IVDF:7.00.06.100 - lunedì 1 settembre 2008

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Symantec: W32.Svich
   •  Kaspersky: Trojan-Downloader.Win32.AutoIt.aa
   •  TrendMicro: WORM_SOHANAD.EI
   •  F-Secure: Trojan-Downloader.Win32.AutoIt.aa
   •  Sophos: W32/Sohana-Y
   •  Panda: W32/Sohanat.BY.worm
   •  Eset: Win32/Hakaglan.C
   •  Bitdefender: Trojan.Downloader.Autoit.V


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\SSCVIIHOST.exe
   • %WINDIR%\SSCVIIHOST.exe
   • %SYSDIR%\blastclnnn.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\setting.ini

– %WINDIR%\Tasks\At1.job Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.
– %SYSDIR%\autorun.ini Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Autorun.A.2




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • setting3.**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.freewebs.com/se**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSCVIIHOST.exe"



Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000



Urmatoarele chei din registri sunt modificate:

Diverse setari in Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • NofolderOptions=dword:00000001

Dezactivarea programelor Regedit si Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • Shell="Explorer.exe SSCVIIHOST.exe"

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Yahoo Messenger


Catre:
Toate intrarile din lista de contacte.


Mesajul primit poate arata astfel:


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Alexandru Dinu su martedì 9 settembre 2008
Descrizione aggiornata da Alexandru Dinu su martedì 9 settembre 2008

Indietro . . . .