Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Sohanad.bm
Scoperto:19/11/2008
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:501.017 Byte
Somma di controllo MD5:eb4215326d739ef7393270fb48f6dbcb
Versione IVDF:7.01.00.110 - mercoledì 19 novembre 2008

 Generale Metodi di propagazione:
   • Rete locale
    Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Sohanad.bm
   •  F-Secure: IM-Worm.Win32.Sohanad.bm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Grisoft: I-Worm/Sohanad.J
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Duplica un file
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe



Viene creato il seguente file:

%WINDIR%\Tasks\At1.job Il file un task pianificato che esegue il malware in certe ore predefinite.



Prova a scaricare un file:

La posizione la seguente:
   • http://nhatquanglan2.0catch.com/**********
Viene salvato in locale sotto: %SYSDIR%\setting.ini

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%tutte le cartelle condivise%\New Folder.exe"



Vengono cambiate le seguenti chiavi di registro:

Varie opzioni di Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valore precedente:
   • NofolderOptions=%impostazioni definite dell'utente%
   Nuovo valore:
   • NofolderOptions=dword:00000001

Disattiva il Regedit e il Task Manager:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • DisableTaskMgr=%impostazioni definite dell'utente%
   • DisableRegistryTools=%impostazioni definite dell'utente%
   Nuovo valore:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

 Yahoo Messenger


A:
Tutti i dati immessi nella lista dei contatti.


Messaggio
Il messaggio inviato sar tipo uno dei seguenti:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com


Il messaggio ricevuto pu apparire come il seguente:


 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa una copia di se stesso nella seguente condivisione di rete:
   • %tutte le cartelle condivise%\New Folder.exe

Descrizione inserita da Adriana Popa su martedì 10 febbraio 2009
Descrizione aggiornata da Adriana Popa su mercoledì 11 febbraio 2009

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.