SOHANAD.X gusano de Internet modifica y altera funciones de Windows y el Internet Explorer inutiliza el sistema.   

© Jorge Machado  Lima-Perú

W32/Sohanad.X

Sohanad.X es un gusano destructivo reportado el 12 de Julio del 2007 que ingresa a los sistemas a través de diversos servicios de Inernet.  

Altera la página de Inicio del Internet Explorer, impide su modificación manual, deshabilita el Administrador de Tareas y el Editor de Registros de Windows y modifica las funciones del Explorador de Windows.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia al directorio %Windir% y a la carpeta %System% con el nombre de lsass.exe y para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves: 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell explorer.exe" = "%System%\lsass.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit userinit.exe" = "%System%\lsass.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

para cambiar la página de Inicio del Internet Explorer, en forma aleatoria, crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www.[dominios_aleatorios].com"

para evitar la modificación manual de la página de inicio cambiada aleatoriamente, crea la llave:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] 
"Homepage" = "1"

para deshabilitar el Editor de Registros crea la sub-llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

para deshabilitar el Administrador de Tareas crea la sub-llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar la función de Restaurar el sistema crea la sub-llave:

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = "1"

para deshabilitar funciones del Explorador de Windows crea la sub-llaves:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun" = "1"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions" = "1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt" = "1"

al siguiente inicio del equipo el gusano ejecuta las sub-llaves de registro generadas, altera el sistema y deshabilita funciones, dejándolo inutilizado y será necesario re-instalar el sistema operativo. 

Finalmente crea las siguientes llaves de registro que evidencian su infección: 

[HKCU\Software\Yahoo\pager\View\YMSGR_Launchcast]
[HKCU\Software\Yahoo\pager\View\YMSGR_buzz]  

PER ANTIVIRUS® versiones 10.1 y 10.2 con registro de virus al 12 de Julio del 2007 detectan y eliminan este gusano. 

Ir al menú anterior

Regresar al Portal de PER SYSTEMS