Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Sohanad.bm
Data em que surgiu:19/11/2008
Tipo:Worm
Includo na lista "In The Wild"No
Nvel de danos:De baixo a mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:De baixo a mdio
Ficheiro esttico:Sim
Tamanho:501.017 Bytes
MD5 checksum:eb4215326d739ef7393270fb48f6dbcb
Verso IVDF:7.01.00.110 - quarta-feira, 19 de novembro de 2008

 Vulgarmente Meios de transmisso:
   • Rede local
    Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Sohanad.bm
   •  F-Secure: IM-Worm.Win32.Sohanad.bm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Grisoft: I-Worm/Sohanad.J
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros
   • Descarrega um ficheiro
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe



criado o seguinte ficheiro:

%WINDIR%\Tasks\At1.job Tarefa agendada que executa o malware em horrios predefinidos.



Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://nhatquanglan2.0catch.com/**********
Encontra-se no disco rgido: %SYSDIR%\setting.ini

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"



So adicionadas as seguintes chaves ao registo:

[HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%todas as pastas partilhadas%\New Folder.exe"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • NofolderOptions=%definies do utilizador %
   Valor recente:
   • NofolderOptions=dword:00000001

Home page do Internet Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • DisableTaskMgr=%definies do utilizador %
   • DisableRegistryTools=%definies do utilizador %
   Valor recente:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

 Messenger Propaga-se atravs do Messenger. Tem as seguintes caractersticas:

 Yahoo Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com


A mensagem recebida tem a seguinte aparncia:


 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.

Envia uma cpia de si prprio seguinte partilha de rede:
   • %todas as pastas partilhadas%\New Folder.exe

Descrição enviada por Adriana Popa em terça-feira, 10 de fevereiro de 2009
Descrição atualizada por Adriana Popa em quarta-feira, 11 de fevereiro de 2009

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.