Nume:DR/Sohanad.BM.157
Descoperit pe data de:30/09/2009
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:529.920 Bytes
MD5:ec80ba08fe2710d8ab5ad280f1b37137
Versiune IVDF:7.01.06.59 - quarta-feira, 30 de setembro de 2009

 General Alias:
   •  Mcafee: W32/YahLover.worm
   •  Sophos: W32/SillyFDC-G
   •  Panda: W32/Hakaglan.A.worm
   •  Eset: Win32/Hakaglan.AH
   •  Bitdefender: Trojan.AutoIt.TD


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\RVHOST.exe
   • %SYSDIR%\RVHOST.exe



Este creat fisierul:

– %WINDIR%\Tasks\At1.job



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://nhatquanglan2.0catch.com/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.freewebs.com/nhattruongquang/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://nhatquanglan2.0catch.com/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.freewebs.com/nhattruongquang/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Una din urmatoarele valori este adaugata in registri pentru pornirea automata a procesului dupa reboot:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Yahoo Messengger"="%SYSDIR%\RVHOST.exe"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001
   • "DisableTaskMgr"=dword:0x00000001



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Noua valoare:
   • "Shell"="Explorer.exe RVHOST.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   Noua valoare:
   • "AtTaskMaxHours"=dword:0x00000000
   • "NextAtJobId"=dword:0x00000003

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NofolderOptions"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
   Noua valoare:
   • "GlobalUserOffline"=dword:0x00000000

 Terminarea proceselor Urmatorul proces este oprit:
   • taskmgr.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrição enviada por Petre Galan em sexta-feira, 5 de fevereiro de 2010
Descrição atualizada por Petre Galan em sexta-feira, 5 de fevereiro de 2010

Voltar . . . .