Sonahad.AE

SOHANAD.AE gusano de HTTP y Yahoo Messenger termina procesos de antivirus, deshabilita programas del sistema, etc.

W32/Sohanad.AE

Sohanad es un gusano residente en memoria reportado el 14 de Noviembre del 2006 que ingresa a los sistemas a través de visitas a páginas web infectadas o de la Mensajería Instantánea de Yahoo (YM) con mensajes a determinados enlaces que descargan los archivos svchost32.exe y svhost.exe.

Termina procesos de antivirus, firewalls y software de control y seguridad, deshabilita el Editor de Registros y el Administrador de Tareas de Windows, descargar 2 archivos infectados desde un sitio web cifrado.

Cambia la página de Inicio del Internet Explorer y se conecta a un sub-dominio http://www.coolpics.net desde donde intenta ejecuta scripts con códigos malignos.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 181KB y 10.5 KB, respectivamente comprimidos con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia al directorio %System% con los nombres de svchost32.exe o svhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task Manager" = "%System%\svchost32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Svchost" = "%System%\svhost.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para modificarla configuración de Yahoo Instant Messenger crea las llaves:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz]
"content url" = "http://www.coolpics.net"

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast}
"content url" = "http://www.coolpics.net"

para deshabilitar el Editor de Registros crea la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar el Administrador de Tareas crea la sub-llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
"DisableTaskMgr = "1"

para cambiar la página de Inicio por defecto del Internet Explorer la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www.coolpics.net"

para impedir la ejecución de la opción Run en el menú de Inicio crea la sub-llave

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRun = "1"

para impedir la modificación manual de la página de inicio alterada, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "dword:00000001"

al siguiente inicio del equipo el gusano termina los procesos de los siguientes antivirus, firewalls y software de seguridad:

ANTI-TROJAN.EXE
ANTS.EXE
APVXDWIN.EXE
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVPUPD.EXE
AVSYNMGR.EXE
AVWUPD32.EXE
AVXQUAR.EXE
BDMCON.EXE
BDNEWS.EXE
BDOESRV.EXE
BDSS.EXE
BKAV2006.EXE
CMGRDIAN.EXE
DRWEBUPW.EXE
GUARD.EXE
IAMAPP.EXE
IAMSERV.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
LUCOMSERVER.EXE
MCAGENT.EXE
MCUPDATE.EXE
MINILOG.EXE
MOOLIVE.EXE
NAVAPW32.EXE
NMAIN.EXE
NPROTECT.EXE
NSCHED32.EXE
NUPGRADE.EXE
REGEDIT.EXE
REGEDT32.EXE
RTVSCAN.EXE
RULAUNCH.EXE
SVHOST32.EXE
VSHWIN32.EXE
VSSERV.EXE
VSSTAT.EXE
ZATUTOR.EXE
ZONEALARM.EXE

luego se propaga por el Yahoo Messenger enviando un mensaje a la lista de contactos del usuario, con enlaces a archivos infectados.

El mensaje aleatoriamente tiene una de los siguientes contenidos:

:( the page cannot be displayed http://ww.coolpics.net/error.jpg Something was wrong !!! Check it again and tell me later. THanks
:D who is beside you in this pic http://ww.coolpics.net/friendpic1.jpg so good-looking
;) 1 of my vacation pictures http://ww.coolpics.net/vacation1.jpg <:-P
;) 1 of my vacation pictures http://ww.coolpics.net/vacation2.jpg <:-P
Do you realize who is in this image: http://ww.coolpics.net/who.jpg . Just think for a moment and tell me soon ;))
hot pics this week http://ww.coolpics.net/hot.jpg :x
Images shot in Iraq _ The war will never end http://ww.coolpics.net/Iraqwar.jpg << :(
Miss World 2006: http://www.coolpics.net/MissWorld.jpg !!
never click into the links like something in this image http://www.coolpics.net/dontclick.jpg #:-S !!!
oh my god , i've won a 20000 usd lottery :O http://www.coolpics.net/mylottery.jpg <<
Screenshot of new windows version _ Windows Vista http://www.coolpics.net/vista.jpg so cool :D

El gusano descarga de un URL cifrado los siguientes archivos:

en.exe (el gusano en sí)
link-en.exe (copia del gusano)

PER ANTIVIRUS® versión 9.9 con registro de virus al 14 de Noviembre del 2006 detecta y elimina este gusano.