IM-Worm.Win32.Sohanad.ar

Материал из Total Malware Info

IM-Worm.Win32.Sohanad.ar Червь распространяюший себя через сеть мгновенных сообщений Yahoo. Является приложением Windows (PE-EXE файл). Имеет размер 245 763 байт. Упакован при помощи UPX, распакованный размер ~616 кбайт. Написан на языке AutoIt

Инсталляция

Копирует свой исполняемый файл как:

%WinDir%\SSVICHOSST.exe
%System%\SSVICHOSST.exe

Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=”Explorer.exe SSVICHOSST.exe”

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Yahoo Messengger=”%System%\SSVICHOSST.exe”

Изменяет значения ключей реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NofolderOptions=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr=1
DisableRegistryTools=1

Тем самым отключает системный редактор реестра и менеджер процессов.

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
AtTaskMaxHours=0

Данное значение параметра останавливает выполнение запланированных в Windows задач.

Деструктивная активность

Завершает процесс с именем

 game_y.exe

Так же завершает процессы, которые содержат в заголовке своего окна следующие строки:

Bkav2006
System Configuration
Registry
Windows Task
[FireLion]
cmd.exe

Удаляет следующие параметры ключей реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
BkavFw
IEProtection

Скачивает файл конфигурации, в котором находится список ссылок для закачки файлов из интернет по следующим ссылкам:

http://nhatqua*******t35.com/setting.nql
http://nhatqua*******t35.com/setting.xls
http://nhatqua*******t35.com/setting.ini
http://nhatqua*******t35.com/setting.nql
http://nhatqua*******t35.com/setting.xls

файл сохраняется с одним из следующих имен:

%System%\setting.ini
%System%\setting.xls
%System%\setting.nql

После этого червь считывает ссылки для загрузки файлов а так же имена, под которыми их сохранять и производит закачку. Файлы сохраняются в папку %System% и запускаются.

Червь ищет в системе окна отправки сообщений программы Yahoo Messenger и вставляет в поле для ввода сообщений одно из следующих текстовых сообщений:

E may, vao day coi co con nho nay ngon lam

Vao day nghe bai nay di ban

Biet tin gi chua, vao day coi di

Trang Web nay coi cung hay, vao coi thu di

Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi? Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?
Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong. Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...
 
Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon. Gio nguoi lac loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...

Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon. Nguoi da den nhu la giac mo roi ra di cho anh bat ngo...

Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem, tra lai em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...

после этого сообщения следует ссылка:

http://nhatquanglan1.0catch.com

или ссылка, считанная из файла конфигурации %System%\setting.ini из параметра myweb раздела [setting]. Данный файл предварительно загружается червем из интернет.

Копирует свой исполняемый файл в корневую папку на все сьемные диски а так же на все общедоступные папки компьютера с именем “New Folder.exe” а так же создает в этой же папке файл autorun.inf, который запускает исполняемый файл трояна “New Folder.exe” при открытии данной папки при помощи программы «Проводник Windows».

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. При помощи ("Диспетчера задач") завершить процесс червя.
2. Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметры в ключах реестра (как работать с реестром?):

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Yahoo Messengger=”%System%\SSVICHOSST.exe”

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NofolderOptions=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr=1
DisableRegistryTools=1

4. Изменить значения параметров следующих ключей реестра на оригинальные (как работать с реестром?):

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell=”Explorer.exe”

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
AtTaskMaxHours=0

5. Удалить файлы:

%WinDir%\SSVICHOSST.exe
%System%\SSVICHOSST.exe
%System%\setting.ini
%System%\setting.xls
%System%\setting.nql

6. Удалить файлы с именами

New Folder.exe
аutorun.inf

со всех съемных носителей и общих папок компьютеров