Nome del virus:Worm/Sohaned.BP
Scoperto:07/11/2008
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:327.109 Byte
Somma di controllo MD5:8c4c10bc0cd60742a57eb6a4e6f3c261
Versione IVDF:7.01.00.55 - venerdì 7 novembre 2008

 Generale Metodo di propagazione:
   • Autorun feature (it)


Alias:
   •  Mcafee: W32/YahLover.worm.gen
   •  Panda: W32/Autorun.JHJ
   •  Eset: Win32/Autoit.EB
   •  Bitdefender: Worm.Generic.39680


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file “maligni”
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %SYSDIR%\gphone.exe
   • %WINDIR%\gphone.exe
   • %unità disco%\gphone.exe



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   •

%SYSDIR%\autorun.ini Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/AutoIt.AV




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://rnd009.googlepages.com/**********
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://rnd009.googlepages.com/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\gphone.exe"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuovo valore:
   • "Shell"="Explorer.exe gphone.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Nuovo valore:
   • "AtTaskMaxHours"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Start Page"="http://rnd009.googlepages.com/google.html"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • "NofolderOptions"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Nuovo valore:
   • "Default_Page_URL"="http://rnd009.googlepages.com/google.html"
   • "Default_Search_URL"="http://rnd009.googlepages.com/google.html"
   • "Search Page"="http://rnd009.googlepages.com/google.html"
   • "Start Page"="http://rnd009.googlepages.com/google.html"

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su giovedì 11 marzo 2010
Descrizione aggiornata da Petre Galan su giovedì 11 marzo 2010

Indietro . . . .