Имя:Worm/Sohanat.AX
Обнаружен:14/02/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:185.542 байт.
Контрольная сумма MD5:019491172aa082ca33a76793a651a09a
Версия VDF:6.37.01.105
Версия IVDF:6.37.01.106 - пятница, 16 февраля 2007 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  F-Secure: IM-Worm.Win32.Sohanad.u
   •  Sophos: W32/Sohana-K
   •  Grisoft: Autoit.Y
   •  Eset: Win32/Sohanad.U


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Отключение приложений безопасности
   • Загружает вредоносного файл
   • Создает потенциально опасный файл
   • Изменение реестра

 Файлы Попытка загрузки следующего файла:

– Следующий URL:
   • http://64.26.25.75/**********
Сохраняется локально в: %WINDIR%\svchost.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/VB.CK.9

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "SVCHOST"="%WINDIR%\svchost.exe"
   • "Task Manager"="%WINDIR%\svhost32.exe"



Добавляются следующие ключи реестра:

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   • "DisableConfig"="1"

– [HKCU\Software\Google\GoogleToolbarNotifier]
   • "KeepDS"=dword:00000000
   • "ShowTrayIcon"=dword:00000000

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   • "content url"="http://zinblog.com"

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   • "content url"="http://zinblog.com"

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   • "Homepage"=dword:00000001



Изменяются следующие ключи реестра:

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • "Start Page"="http://zinblog.com"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Новое значение:
   • "Search Bar"="http://zinblog.com"
   • "Use Search Asst"="no"
   • "Search Page"="http://zinblog.com"

– [HKCU\Software\Microsoft\Internet Explorer\SearchUrl]
   Новое значение:
   • "(Default)"="http://zinblog.com"

– [HKCU\Software\Microsoft\Search Assistant]
   Новое значение:
   • "DefaultSearchURL"="http://zinblog.com"

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • "NoRun"=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Messenger – Yahoo Messenger
Все записи из списка контактов.


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • This is my one-off Xmas e-card for you ^_^ http://zinblog.com/?id=ecard =)) This message was certified by %yahoo user%

   • making money online never be easier : http://unitedreporters.org/?id=tips >:D< This message was certified by %yahoo user%, no worm

   • Vote for our Miss beauty today !!! http://unitedreporters.org/?id=miss_world :x:x:x:x:x This message was certified by %yahoo user%, no worm

   • DIY dynamite from Whisky, Coke and Mentos : http://zinblog.com/?id=dynamite << This message was certified by %yahoo user%, no worm

   • Fuck !!! X-( http://zinblog.com/?id=password << This message was certified by %yahoo user%, no worm

   • I made 10 gifts for the first 10 people post comments on my own page : http://lucyblog.com ^_^

   • Be careful. There’ll be earthquake tonight !!! http://unitedreporters.org/?id=warning << This message was certified by %yahoo user%, no worm

   • My new personal website : http://zinblog.com c0ol !!!

   • Microsoft to release 2007 free-of-charge packs of Winsdows Vista for its first 2007 online registered users: http://unitedreporters.org/?id=ms << This message was certified by %yahoo user%, no worm

   • wtf is this ? wanna give me a shit ? http://unitedreporters.org/?id=news X-(

   • Breaking news : Osama Bin Laden has been arrested !! http://unitedreporters.org/?news_id=18388 This message was certified by %yahoo user%, no worm

   • Yahoo to charge fee for its YM service http://zinblog.com/?id=ym This message was certified by %yahoo user%, no worm

   • OMG ! She is really beautiful :x http://zinblog.com/DSC00273.JPG This message was certified by %yahoo user%, no worm

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.


Полученные сообщения могут выглядеть следующим образом:



 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Ernest Szocs в(о) четверг, 15 февраля 2007 г.
Описание обновил Ernest Szocs в(о) понедельник, 19 февраля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.