Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Sohanad.bm
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度至中程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:低程度至中程度
静态文件:
文件大小:501.017 字节
MD5 校检和:eb4215326d739ef7393270fb48f6dbcb
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 局域网络
   • Messenger


别名:
   •  Kaspersky: IM-Worm.Win32.Sohanad.bm
   •  F-Secure: IM-Worm.Win32.Sohanad.bm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Grisoft: I-Worm/Sohanad.J
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 下载文件
   • 植入文件
   • 降低系统安全设置
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe



创建以下文件:

– %WINDIR%\Tasks\At1.job 该文件是工作排程,在预定的时间运行恶意软件。



它会尝试下载文件:

– 该位置如下所示:
   • http://nhatquanglan2.0catch.com/**********
它会保存在硬盘驱动器以下的位置: %SYSDIR%\setting.ini

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"



会添加以下注册表项目注册值:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%所有共享文件夹%\New Folder.exe"



会更改以下注册表项:

各种 Explorer 设置:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   旧值:
   • NofolderOptions=%用户定义的设置%
   新值:
   • NofolderOptions=dword:00000001

禁用 Regedit 和任务管理器:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   旧值:
   • DisableTaskMgr=%用户定义的设置%
   • DisableRegistryTools=%用户定义的设置%
   新值:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

 Messenger 它是通过 Messenger 传播的。 下面说明了它的特征:

– Yahoo Messenger


收件人:
联系人列表全部资料。


信息
已发邮件如下所示:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com


收到的信息可能如下所示:


 网络感染 该恶意软件会尝试以下方式连接其他计算机来作广泛传播/感染。

它会将其本身的副本植入以下网络共享中:
   • %所有共享文件夹%\New Folder.exe

설명 삽입자 Adriana Popa   2009년 2월 10일 화요일
설명 업데이트 Adriana Popa   2009년 2월 11일 수요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.