English
Deutsch
Français
Español
Italiano
Home
Minacce
Worm/Sohanad.AS
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
Worm/Sohanad.AS - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
Worm/Sohanad.AS
Scoperto:
20/02/2008
Tipo:
Worm
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Medio-Basso
Potenziale di propagazione:
Medio-Basso
Potenziale di danni:
Medio-Basso
File statico:
No
Dimensione del file:
~320.000 Byte
Versione IVDF:
7.00.02.163
Generale
Metodo di propagazione:
• Messenger
Alias:
• Kaspersky: IM-Worm.Win32.Sohanad.as
• F-Secure: IM-Worm.Win32.Sohanad.as
• Sophos: W32/SillyFDC-AE
• Eset: Win32/Hakaglan.G worm
• Bitdefender: Win32.Worm.Sohanad.NBL
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Scarica un file
• Scarica file
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%SYSDIR%
\SCVVHSOT.exe
•
%WINDIR%
\SCVVHSOT.exe
•
%SYSDIR%
\blastclnnn.exe
Vengono creati i seguenti file:
– File “non maligno”:
•
%SYSDIR%
\setting.ini
–
%SYSDIR%
\autrun.ini Questo è un file di testo “non maligno” con il seguente contenuto:
• [Autorun]
Open=SCVVHSOT.exe
Shellexe cute=SCVVHSOT.exe
Shell\Open\command=SCVVHSOT.exe
Shell=Open
Prova a scaricare un file:
– Le posizioni sono le seguenti:
• http://www.freewebs.com/setting3/**********
• http://setting3.9999mb.com/**********
Al momento dell'analisi questo file non era più disponibile.
Registro
Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Yahoo Messengger="
%SYSDIR%
\SCVVHSOT.exe"
Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
• AtTaskMaxHours=dword:00000000
Vengono cambiate le seguenti chiavi di registro:
Disattiva il Regedit e il Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Valore precedente:
• DisableTaskMgr=
%impostazioni definite dell'utente%
• DisableRegistryTools=
%impostazioni definite dell'utente%
Nuovo valore:
• DisableTaskMgr=dword:00000001
• DisableRegistryTools=dword:00000001
Varie opzioni di Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Valore precedente:
• NofolderOptions=
%impostazioni definite dell'utente%
Nuovo valore:
• NofolderOptions=dword:00000001
Messenger
Si diffonde via Messenger. Le caratteristiche sono descritte sotto:
– Yahoo Messenger
A:
Tutti i dati immessi nella lista dei contatti.
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Alexander Neth il Fri, 20 Jun 2008 10:42 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Mon, 23 Jun 2008 07:53 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce Worm/Sohanad.AS
Stampa questa pagina
.gif)
