Имя:Worm/Sohanad.AE
Обнаружен:22/02/2007
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:185.400 байт.
Контрольная сумма MD5:cd497af9276785a01a96daf515c4f0a1
Версия VDF:6.37.01.140 - четверг, 22 февраля 2007 г.
Версия IVDF:6.37.01.140 - четверг, 22 февраля 2007 г.

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  F-Secure: IM-Worm.Win32.Sohanad.ae
   •  Eset: Win32/Sohanad.AE


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Попытка загрузки следующих файлов:

– Следующий URL:
   • http://st83.startlogic.com/**********/Gallery/albums/data/YMworm.exe
Сохраняется локально в: %SYSDIR%\svchost.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://st83.startlogic.com/**********/Gallery/albums/data/worm2007.exe
Сохраняется локально в: %SYSDIR%\svchost32.exe Данный файл запускается на выполнение после его полной загрузки. На момент проверки данный файл не был доступен.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messenger = %SYSDIR%\svchost32.exe
   • Task Manager = %SYSDIR%\svchost.exe



Изменяются следующие ключи реестра:

– [HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
   Прежнее значение:
   • content url = %Настройки пользователя%
   Новое значение:
   • content url = http://quicknews.**********

– [HKCU\Software\Yahoo\pager\View\YMSGR_buzz]
   Прежнее значение:
   • content url = %Настройки пользователя%
   Новое значение:
   • content url = http://quicknews.**********

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • "DisableRegistryTools"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

Стартовая страница Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Прежнее значение:
   • Start Page = %Настройки пользователя%
   Новое значение:
   • Start Page = http://quicknews.**********

– [HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
   Новое значение:
   • Homepage = dword:00000001

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NoRun = dword:00000001

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Yahoo Messenger


Кому:
Все записи из списка контактов.


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • hot pics this week http://quicknews.**********/hot.jpg :x

   • never click into the links like something in this image http://quicknews.**********/dontclick.jpg
     :-S !!!

   • ;) 1 of my vacation pictures http://quicknews.**********/vacation2.jpg <:-P

   • Do you realize who is in this image: http://quicknews.**********/who.jpg . Just think for a moment and tell me soon ;))

   • My pics http://quicknews.**********/mypics.jpg b-( <<

   • :D who is beside you in this pic http://quicknews.**********/friendpic1.jpg so good-looking

   • Miss World 2006: http://quicknews.**********/MissWorld.jpg !!


Полученные сообщения могут выглядеть следующим образом:



 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Gherman в(о) пятница, 30 марта 2007 г.
Описание обновил Andrei Gherman в(о) пятница, 30 марта 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.