Имя:DR/Sohanad.T.2
Обнаружен:06/05/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:239.905 байт.
Контрольная сумма MD5:790Ddc293c8f45ec337292cb57a3ee41
Версия VDF:6.38.01.94
Версия IVDF:6.38.01.98 - воскресенье, 6 мая 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Mcafee: W32/YahLover.worm
   •  TrendMicro: WORM_SOHANAD.BO
   •  Bitdefender: Worm.IM.Agent.G


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe
   • %сетевая папка общего доступа%\SSVICHOSST.exe
   • %сетевая папка общего доступа%\%все подкаталоги%\%все подкаталоги%.exe



Создается файл:

%WINDIR%\Tasks\At1.job Запланированная задача в виде данного файла запускается в заранее определенное время.
%SYSDIR%\autorun.ini



Попытка загрузки следующего файла:

– Следующие URL:
   • http://nhatquanglan3.t35.com/**********
   • http://nhatquanglan4.t35.com/**********
Сохраняется локально в: %SYSDIR%\setting.ini Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSVICHOSST.exe"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="\New Folder.exe"



Изменяются следующие ключи реестра:

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NofolderOptions=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • Shell="Explorer.exe SSVICHOSST.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Новое значение:
   • AtTaskMaxHours=dword:00000000

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
   • IPC$

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Alexandru Dinu в(о) среда, 3 октября 2007 г.
Описание обновил Alexandru Dinu в(о) среда, 17 октября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.