Sonahad.H

SOHANAD.H gusano de HTTP y mensajería instantánea termina procesos de Windows altera página de inicio de IE, etc.

W32/Sohanad.H

Sohanad.H es un gusano residente en memoria reportado el 13 de Octubre del 2006 que ingresa a los sistemas a través de visitas a páginas web infectadas o de las mensajerías Instantáneas de Yahoo (YM), Microsoft Messenger y AIM (AOL).

Altera la barra de título del Internet Explorer, cambia su página de Inicio, deshabilita el Administrador de Tareas y el Editor de Registros de Windows y modifica la configuración del Yahoo Messenger.

Descarga una copia de sí mismo de un sitio web ubicado en Vietnam inspirado en el cantante vietnamés llamado Dan Truong

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 202KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia al directorio %Windir% con el nombre de taskmng.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task Manager" = "%Windir%\taskmng.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

para deshabilitar el Editor de Registros crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

para deshabilitar el Administrador de Tareas crea la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
"DisableTaskMgr = "dword:00000001"

Para modificarla configuración de Yahoo Instant Messenger crea las llaves:

[HKEY_CURRENT_USER\Software\yahoo\pager\View\YMSGR_buzz]
"content url" = "[censurada]l-school.org"

[HKEY_CURRENT_USER\Software\yahoo\pager\View\YMSGR_buzz]
content url = "http://www.[censurado]lefarmer.com/2/tinhkhucvang_6x_to/chucbanvuive"

[HKEY_CURRENT_USER\Software\Yahoo\pager\View\YMSGR_Launchcast]
"content url" = "http://www.[censurado]lefarmer.com/2/tinhkhucvang_6x_to/chucbanvuive"

para cambiar la página de Inicio por defecto del Internet Explorer crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "http://[censurado]nhkhucvang.1.to Nhan Love Tu' :: Chut gi de nho..."

para evitar la modificación manual de la página de inicio alterada, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "dword:00000001"

al siguiente inicio del equipo el gusano se propaga a través de los siguientes servicios de mensajería instantánea:

AIM (AOL)
Windows Messenger
Windows Live Messenger
Yahoo! Messenger

luego se propaga por las mismas enviando mensajes a la lista de contactos del usuario, con un enlace a un archivo infectado.

El mensaje aleatoriamente tiene uno de los siguientes contenidos:

Welcome To Website Fan Dan Truong: http://tinhkhucvang.1.to Ngay khong em anh day lam sao cho het ngay? Sang dem duong nhu chi co anh voi anh quay quang... http://www.[censurado]lefarmer.com/2/tinhkhucvang_6x_to/chucbanvuive
;):x Welcome To Website Fan Dan Truong: http://tinhkhucvang.1.to ;):x Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi... http://www.[censurado]lefarmer.com/2/tinhkhucvang_6x_to/chucbanvuive
;):x Welcome To Website Fan Dan Truong: http://tinhkhucvang.1.to ;):x Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa... http://www.[censurado]lefarmer.com/2/tinhkhucvang_6x_to/chucbanvuive

El gusano descarga una copia de sí mismo con el nombre de NHAN_LOVE_TU.EXE desde el sitio web:

www.[cencurado]lefarmer.com/2/tinhkhucvang_6x_to/chucbanvuive

PER ANTIVIRUS® versiones 9.8 y 9.9 con registro de virus al 13 de Octubre del 2006 detectan y eliminan este gusano.