Worm/Sohanad.AS - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Sohanad.AS
Entdeckt am:	20/02/2008
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig bis mittel
Verbreitungspotenzial:	Niedrig bis mittel
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Nein
Dateigröße:	~320.000 Bytes
IVDF Version:	7.00.02.163 - Wed, 20 Feb 2008 07:43 (GMT+1)

General Verbreitungsmethode:
   • Messenger

Aliases:
   • Kaspersky: IM-Worm.Win32.Sohanad.as
   • F-Secure: IM-Worm.Win32.Sohanad.as
   • Sophos: W32/SillyFDC-AE
   • Eset: Win32/Hakaglan.G worm
   • Bitdefender: Win32.Worm.Sohanad.NBL

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

Dateien Kopien seiner selbst werden hier erzeugt:
   • %SYSDIR%\SCVVHSOT.exe
   • %WINDIR%\SCVVHSOT.exe
   • %SYSDIR%\blastclnnn.exe

Es werden folgende Dateien erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\setting.ini

– %SYSDIR%\autrun.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [Autorun]
     Open=SCVVHSOT.exe
     Shellexe cute=SCVVHSOT.exe
     Shell\Open\command=SCVVHSOT.exe
     Shell=Open

Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://www.freewebs.com/setting3/**********
   • http://setting3.9999mb.com/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Yahoo Messengger="%SYSDIR%\SCVVHSOT.exe"

Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • AtTaskMaxHours=dword:00000000

Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • DisableTaskMgr=%Einstellungen des Benutzers%
   • DisableRegistryTools=%Einstellungen des Benutzers%
   Neuer Wert:
   • DisableTaskMgr=dword:00000001
   • DisableRegistryTools=dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Alter Wert:
   • NofolderOptions=%Einstellungen des Benutzers%
   Neuer Wert:
   • NofolderOptions=dword:00000001

Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Yahoo Messenger

An:
Alle Einträge aus der Kontaktliste.

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Alexander Neth am Fri, 20 Jun 2008 10:42 (GMT+1)
Beschreibung geändert von Andrei Gherman am Mon, 23 Jun 2008 07:53 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück