DR/Sohanad.T.2 - Dropper

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	DR/Sohanad.T.2
Обнаружен:	06/05/2007
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	От низкого до среднего
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	239.905 байт.
Контрольная сумма MD5:	790Ddc293c8f45ec337292cb57a3ee41
Версия VDF:	6.38.01.94 - Fri, 04 May 2007 18:41 (GMT+1)
Версия IVDF:	6.38.01.98

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Mcafee: W32/YahLover.worm
   • TrendMicro: WORM_SOHANAD.BO
   • Bitdefender: Worm.IM.Agent.G

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Создает потенциально опасный файл
   • Изменение реестра

Файлы Создаются собственные копии:
   • %SYSDIR%\SSVICHOSST.exe
   • %WINDIR%\SSVICHOSST.exe
   • %сетевая папка общего доступа%\SSVICHOSST.exe
   • %сетевая папка общего доступа%\%все подкаталоги%\%все подкаталоги%.exe

Создается файл:

– %WINDIR%\Tasks\At1.job Запланированная задача в виде данного файла запускается в заранее определенное время.
– %SYSDIR%\autorun.ini

Попытка загрузки следующего файла:

– Следующие URL:
   • http://nhatquanglan3.t35.com/**********
   • http://nhatquanglan4.t35.com/**********
Сохраняется локально в: %SYSDIR%\setting.ini Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SSVICHOSST.exe"

Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   WorkgroupCrawler\Shares]
   • shared="\New Folder.exe"

Изменяются следующие ключи реестра:

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Новое значение:
   • NofolderOptions=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Новое значение:
   • Shell="Explorer.exe SSVICHOSST.exe"

– [HKLM\SYSTEM\ControlSet001\Services\Schedule]
   Новое значение:
   • AtTaskMaxHours=dword:00000000

Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующую сетевой ресурс общего доступа:
• IPC$

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Краткое описание см. здесь.

Описание добавлено: Alexandru Dinu Wed, 03 Oct 2007 16:55 (GMT+1)
Описание обновлено: Alexandru Dinu Wed, 17 Oct 2007 10:21 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back