Sonahad.AK

SOHANAD.AK gusano de Yahoo Messenger deshabilita programas del sistema cambia configuraci'on del IE y YIM.

W32/Sohanad.AK

Sohanad.AK es un gusano residente en memoria reportado el 06 de Diciembre del 2006 que se propaga en Yahoo Messenger y descarga un archivo infectado desde un portal web ubicado en la India.

Deshabilita el Editor de Registros y el Administrador de Tareas de Windows, cambia la configuración de Inicio de Yahoo Messenger e Internet Explorer.

Crea una llave que no permite restablecer fácilmente las llaves previamente generadas.

Es un PE (Portable Ejecutable) infecta Windows 98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 180KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia al directorio %Windir% con los nombres de archivos svhost12.exe y svhost.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task Manager = "%Windir%\svhost12.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Svchost" = "%%Windir%\system\svhost.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para modificar la configuración de Yahoo Instant Messenger crea las llaves:

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_buzz]
"content url" = "http://[censurado]vantinhyeu.info"

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast]
"content url" = "http://[censurado]vantinhyeu.info"

para deshabilitar el Editor de Registros crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

para deshabilitar el Administrador de Tareas crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "dword:00000001"

para cambiar la página de Inicio por defecto del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://[censurado]vantinhyeu.info"

para evitar la modificación manual de la página de inicio alterada, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage = "dword:00000001"

Al siguiente inicio del equipo se propaga por el Yahoo Messenger enviando mensajes a la lista de contactos del usuario, con enlaces a archivos infectados.

El mensaje aleatoriamente tiene uno de los siguientes contenidos:

Bo oi! Co biet gi chua ha?Cai nay hay lam a nha http://www.[censurado]vantinhyeu.info
Loi to tinh dau tien cua tui :x http://www.[censurado]vantinhyeu.info
cau noi hay nhat danh cho 2 nguoi iu nhau http://www.[censurado]vantinhyeu.info
chao ban, lau lam ko gap, ban nhan tin lai cho minh nhe
Hay noi khong voi nhung blog ban, du ban o mien Bac hay Nam van la nguoi con cua VN http://blog.360.yahoo.com/
blog-lgnzAww8fqlE9ZWuADs-?cq=1&p=534#comments
Toi yeu Viet Nam http://{BLOCKED}og.360.yahoo.com/
blog-lgnzAww8fqlE9ZWuADs-?cq=1&p=534
Chung ta hay cung len an hanh dong cua be crys, ko de nhung blog ban ton tai http://blog.360.yahoo.com/
blog-lgnzAww8fqlE9ZWuADs-?cq=1&p=534
buc thu tinh hay nhat http://www.{BLOCKED}vantinhyeu.info >:D<
Di xe dap dam chet nguoi =)) http://www.[censurado]vantinhyeu.info
Biet yeu la sai lam, sao ta cu yeu dai kho http://www.[censurado]vantinhyeu.info
Lan dau tien len...giuong =)) =)) http://www.[censurado]vantinhyeu.info
chao ban, lau lam ko gap,

El gusano intenta descargar un archivo infectado del URL:

http://[censurado]vantinhyeu.info/enet.exe

el cual es copiado a la carpeta temporal de Windows como svhost12.exe y que es el gusano en sí.

PER ANTIVIRUS® versión 9.9 con registro de virus al 06 de Diciembre del 2006 detecta y elimina este gusano.