VírusWorm/Sohanad.bm
Data em que surgiu:19/11/2008
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:De baixo a médio
Nível de distribuição:De médio a elevado
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:501.017 Bytes
MD5 checksum:eb4215326d739ef7393270fb48f6dbcb
Versão IVDF:7.01.00.110 - quarta-feira, 19 de novembro de 2008

 Vulgarmente Meios de transmissão:
   • Rede local
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Sohanad.bm
   •  F-Secure: IM-Worm.Win32.Sohanad.bm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Grisoft: I-Worm/Sohanad.J
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega um ficheiro
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\RVHOST.exe
   • %WINDIR%\RVHOST.exe



É criado o seguinte ficheiro:

%WINDIR%\Tasks\At1.job Tarefa agendada que executa o malware em horários predefinidos.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://nhatquanglan2.0catch.com/**********
Encontra-se no disco rígido: %SYSDIR%\setting.ini

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\RVHOST.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="Explorer.exe RVHOST.exe"



São adicionadas as seguintes chaves ao registo:

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="%todas as pastas partilhadas%\New Folder.exe"



Altera as seguintes chaves de registo do Windows:

Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • NofolderOptions=%definições do utilizador %
   Valor recente:
   • NofolderOptions=dword:00000001

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • DisableTaskMgr=%definições do utilizador %
   • DisableRegistryTools=%definições do utilizador %
   Valor recente:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Yahoo Messenger


Para:
Todas as entradas na lista de contactos.


Mensagem
A mensagem enviada parece-se com uma das seguintes:

   • E may, vao day coi co con nho nay ngon lam http://nhattruongquang.**********.com

   • Vao day nghe bai nay di ban http://nhattruongquang.**********.com

   • Biet tin gi chua, vao day coi di http://nhattruongquang.**********.com

   • Trang Web nay coi cung hay, vao coi thu di http://nhattruongquang.**********.com

   • Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau? http://nhattruongquang.**********.com

   • Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://nhattruongquang.**********.com

   • Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://nhattruongquang.**********.com

   • Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo... http://nhattruongquang.**********.com

   • Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...http://nhattruongquang.**********.com


A mensagem recebida tem a seguinte aparência:


 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia uma cópia de si próprio à seguinte partilha de rede:
   • %todas as pastas partilhadas%\New Folder.exe

Descrição enviada por Adriana Popa em terça-feira, 10 de fevereiro de 2009
Descrição atualizada por Adriana Popa em quarta-feira, 11 de fevereiro de 2009

Voltar . . . .