VírusWorm/Sohanad.AE
Data em que surgiu:22/02/2007
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:185.400 Bytes
MD5 checksum:cd497af9276785a01a96daf515c4f0a1
Versão VDF:6.37.01.140 - quinta-feira, 22 de fevereiro de 2007
Versão IVDF:6.37.01.140 - quinta-feira, 22 de fevereiro de 2007

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  F-Secure: IM-Worm.Win32.Sohanad.ae
   •  Eset: Win32/Sohanad.AE


Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://st83.startlogic.com/**********/Gallery/albums/data/YMworm.exe
Encontra-se no disco rígido: %SYSDIR%\svchost.exe Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://st83.startlogic.com/**********/Gallery/albums/data/worm2007.exe
Encontra-se no disco rígido: %SYSDIR%\svchost32.exe Além disso executa-se depois do download estar completo. Ainda em fase de pesquisa.

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messenger = %SYSDIR%\svchost32.exe
   • Task Manager = %SYSDIR%\svchost.exe



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   Valor anterior:
   • content url = %definições do utilizador %
   Valor recente:
   • content url = http://quicknews.**********

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   Valor anterior:
   • content url = %definições do utilizador %
   Valor recente:
   • content url = http://quicknews.**********

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • Start Page = %definições do utilizador %
   Valor recente:
   • Start Page = http://quicknews.**********

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Valor recente:
   • Homepage = dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • NoRun = dword:00000001

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Yahoo Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • hot pics this week http://quicknews.**********/hot.jpg :x

   • never click into the links like something in this image http://quicknews.**********/dontclick.jpg
     :-S !!!

   • ;) 1 of my vacation pictures http://quicknews.**********/vacation2.jpg <:-P

   • Do you realize who is in this image: http://quicknews.**********/who.jpg . Just think for a moment and tell me soon ;))

   • My pics http://quicknews.**********/mypics.jpg b-( <<

   • :D who is beside you in this pic http://quicknews.**********/friendpic1.jpg so good-looking

   • Miss World 2006: http://quicknews.**********/MissWorld.jpg !!


As mensagens recebidas têm a seguinte aparência:



 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em sexta-feira, 30 de março de 2007
Descrição atualizada por Andrei Gherman em sexta-feira, 30 de março de 2007

Voltar . . . .