Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Sohanad.Gen.13
Data em que surgiu:16/02/2011
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:490.557 Bytes
MD5 checksum:e4ee5c05e4edca467d379355b62d1fd8
Versão VDF:7.10.08.215
Versão IVDF:7.11.03.121 - quarta-feira, 16 de fevereiro de 2011

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Sophos: W32/Sohana-DG
   •  Bitdefender: Trojan.Autoit.ANN
   •  Panda: W32/Sohanat.KO
   •  GData: Trojan.Autoit.ANN


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\domain.exe
   • %SYSDIR%\win32\csrss.exe
   • %unidade%\iostream.exe
   • %HOME%\Start Menu\Programs\Startup\domain.exe
   • %unidade%\%todas as pastas%\%nome de diretório%.exe



Apaga a cópia executada inicialmente.



Elimina o seguinte ficheiro:
   • %SYSDIR%\csrss.exe



São criados os seguintes ficheiros:

%directório de execução do malware%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

%SYSDIR%\cmd.bat



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • net user root /add


– Executa um dos seguintes ficheiros:
   • net user root 3645923527


– Executa um dos seguintes ficheiros:
   • net localgroup administrators root /add


– Executa um dos seguintes ficheiros:
   • explorer.exe /n, /root, %directório de execução do malware%


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\win32\csrss.exe


– Executa um dos seguintes ficheiros:
   • net1 user root /add


– Executa um dos seguintes ficheiros:
   • net1 user root 3645923527


– Executa um dos seguintes ficheiros:
   • net1 localgroup administrators root /add


– Executa um dos seguintes ficheiros:
   • net user "%nome do utilizador actual%" " taskmgr"


– Executa um dos seguintes ficheiros:
   • net1 user "%nome do utilizador actual%" " taskmgr"

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%nome do computador%@%endereço IP%"="domain.exe"



O valor da seguinte chave Registo é eliminado:

–  [HKCU\Software\Microsoft\Internet Explorer\Main]
   • Window Title



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Command Processor]
   • "Autorun"="%SYSDIR%\cmd.bat"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\
   Favorites\Favorites Bar]
   • "Order"=hex:08,00,00,00,02,00,00,00,74,00,00,00,01,00,00,00,01,00,00,00,68,00,00,00,00,00,00,00,5A,00,32,00,1A,01,00,00,F8,3A,CD,46,20,00,53,55,47,47,45,53,7E,31,2E,55,52,4C,00,00,3E,00,03,00,04,00,EF,BE,F8,3A,C5,46,F8,3A,C5,46,14,00,00,00,53,00,75,00,67,00,67,00,65,00,73,00,74,00,65,00,64,00,20,00,53,00,69,00,74,00,65,00,73,00,2E,00,75,00,72,00,6C,00,00,00,1C,00,00,00,00,00,00,00

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN]
   • "FullScreen"="no"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000000
   • "DisableTaskMgr"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   • "EnableConcurrentSessions"=dword:0x00000009
   • "MaxOutstandingConnect"=dword:0x0000008f

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NofolderOptions"=dword:0x00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
   SpecialAccounts\UserList]
   • "root"=dword:0x00000000



Altera as seguintes chaves de registo do Windows:

– [HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Valor recente:
   • "fDenyTSConnections"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000002
   • "HideFileExt"=dword:0x00000001

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor recente:
   • "FullScreen"="no"
   • "Start Page"="http://www.google.com/"
   • "Window_Placement"=hex:2C,00,00,00,00,00,00,00,01,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,8E,00,00,00,B1,00,00,00,AE,03,00,00,09,03,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000001

 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em quarta-feira, 13 de abril de 2011
Descrição atualizada por Petre Galan em quinta-feira, 14 de abril de 2011

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.