Sohanad.AC

SOHANAD.AC gusano de HTTP y Yahoo Messenger deshabilita aplicaciones de Windows altera página de inicio de IE, etc.

W32/Sohanad.AC

Sohanad.AC es un gusano residente en memoria reportado el 02 de Noviembre del 2006 que ingresa a los sistemas a través de visitas a páginas web infectadas o de la mensajería Instantánea Yahoo Messenger (YM).

Modifica la configuración de Yahoo Messenger, deshabilita el Administrador de la Barra de Tareas y el Editor de Registros de Windows y cambia la página de Inicio del Internet Explorer.

Descarga copias de sí mismo de un sitio web ubicado en Tailandia.

Es un PE (Portable Ejecutable) infecta Windows 98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 178KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia al directorio %Windir% con los nombres de svhost32.exe y svhost.exe.

Para ejecutarse la próxima vez que se re-inicie el sistema modificas las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task Manager" = "%Windir%\svhost32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SVCHOST" = "%Windir%\svhost.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

para deshabilitar el Editor de Registros crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

para deshabilitar el Administrador de Tareas crea la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
"DisableTaskMgr = "dword:00000001"

Para modificarla configuración de Yahoo Instant Messenger crea las llaves:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz]
"content url" = "http://www.l-school.org"

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast]
"content url" = "http://www.l-school.org"

para cambiar la página de Inicio por defecto del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page = "http://www.l-school.org"

para evitar la modificación manual de la página de inicio alterada, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"

al siguiente inicio del equipo el gusano se propaga a través de Yahoo Messenger y posiblemente de otros servicios de mensajería instantánea, enviando mensajes a la lista de contactos del usuario, con un enlace a un archivo infectado.

check out my new personal website : http://www.termex.com c0ol !!!
damn, she is so cute :x http://www.l-school.org/?id=miss_world :x:x:x:x:x
Fuck you all X-( http://www.l-school.org/?id=password <<
have you ever seen such a silly man like this ? http://www.l-school.org/?id=stories =))
look at my new lover : http://www.termex.com/darling.jpg :x:x
the only way to clean some online viruses that may lead you into troubles : http://www.termex.com/?id=ie_protector <<

El gusano intenta descargar una copia de sí mismo con el nombre de NZIN.EXE desde el sitio web ubicado en Tailandia:

http://www.l-school.org

PER ANTIVIRUS® versión 9.9 con registro de virus al 02 de Noviembre del 2006 detecta y elimina este gusano.