Продукты:
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Уязвимости Угрозы
Главная Угрозы IM-Worm Win32

IM-Worm.Win32.Sohanad

Detect date
20/06/2012
Класс
IM-Worm
Платформа
Win32

Родительский класс: VirWare

Вирусы и черви – это вредоносные программы, которые без ведома пользователя саморазмножаются на компьютерах или в компьютерных сетях, при этом каждая последующая копия также обладает способностью к саморазмножению. К вирусам и червям не относятся вредоносные программы, которые распространяют свои копии по сети и заражают удаленные машины по команде "хозяина" (например, программы типа Backdoor), или такие, которые создают в системе свои многочисленные, но не умеющие размножаться копии. Основным признаком, по которому программы выделяются в отдельные классы, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам. Большинство известных червей распространяется в виде файлов: во вложении в электронное письмо, при переходе по ссылке на каком-либо WEB- или FTP-ресурсе или по ссылке, присланной в ICQ- или IRC-сообщении, а также через системы файлового обмена P2P и т. п. Некоторые черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код. Для проникновения на удаленные компьютеры и последующего запуска своей копии черви используют следующие проблемы в системах безопасности: социальный инжиниринг (например, в электронном письме предлагается открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый для полного доступа), ошибки в службах безопасности операционных систем и приложений. Что касается вирусов, то их можно разделить по способу заражения компьютера:
  • файловые;
  • загрузочные;
  • макровирусы;
  • скриптовые.
Любой представитель данной категории может дополнительно содержать троянский функционал. Также следует отметить, что многие компьютерные черви используют более одного способа распространения своей копии по сетям.

Класс: IM-Worm

Размножаются по каналам систем мгновенного обмена сообщениями (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Для этих целей черви, как правило, рассылают по списку контактов сообщения, содержащие ссылку (URL) на файл с телом червя, расположенного на каком-либо сетевом ресурсе. Этот прием практически полностью повторяет аналогичный способ рассылки, используемый почтовыми червями.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Программа - червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около - 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:

  • Удаляет следующие файлы: 
    


%System%setup.ini



%System%regsvr.exe



%System%winhelp.exe



%WinDir%regsvr.exe
  • Переименовывает файл: 
    %System%rundll.exe
    в 
    %System%delete.exe
  • Восстанавливает автозапуск "Проводника" перезаписав следующие значения в системный реестр: 
    


[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]



"Shell" = "Explorer.exe"
  • Разблокирует запуск "Диспетчера задач" и "Редактора реестра" установив следующие значения в ключе системного реестра: 
    


[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]



"DisableTaskMgr"=0



"DisableRegistryTools"=0
  • Открывает пункт меню "Свoйcтва пaпки" в "Проводнике" и в "Панели инструментов", изменяя следующий ключ реестра: 
    


[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]



"NofolderOptions" = 0
  • Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра: 
    


[HKLMSystemCurrentControlSetServicesSchedule] 



"AtTaskMaxHours" = 0
  • Отключает автозапуск приложения "Msn Messsenger", удаляя параметр "Msn Messsenger" из ключа реестра: 
    [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
Затем червь создает в системном каталоге скрытый каталог с именем "28463" и затем извлекает в него файлы со следующими именами: 
System%28463svchost.exe
Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te. 
%System%28463svchost.001
Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.

Также копирует себя под такими именами: 




%System%regsvr.exe



%System%svchost.exe



%WinDir%regsvr.exe
Всем своим копиям устанавливает атрибуты "Только на чтение", "Скрытый", "Системный". Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра: 



[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]



"Msn Messsenger"="C:Windowssystem32regsvr.exe"



[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]



"Shell" = "Explorer.exe regsvr.exe "
Если червь запускается, не имея прав администратора – создает каталог с именем 



%Documents and Settings%%Current User%Application Data



support
создает в нем копию своего исполняемого файла с именем: 
%Documents and Settings%%Current User%Application Datasupportregsvr.exe
Также вредонос извлекает в данный каталог файлы: 
%Documents and Settings%%Current User%



Application Datasupportsvchost.exe



%Documents and Settings%%Current User%Application Datasupportsvchost.001
и запускает файл "svchost.exe" на выполнение.

Например IM-Worm.Win32.Sohanad.qi:

После запуска червь выполняет следующие действия:

  • изменяет значения ключей системного реестра: 
    
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableTaskMgr" = "0"

"DisableRegistryTools" = "1"
    Это приводит к отключению системного редактора реестра. 
    
[HKLMSystemCurrentControlSetServicesSchedule]

"AtTaskMaxHours" = "0"
    Таким образом, останавливается выполнение всех запланированных системным планировщиком задач. 
    
[HKCUSoftwareMicrosoftWindowsCurrentVersion

Internet Settings]

"GlobalUserOffline" = "0"
    Таким образом, установленный в системе по умолчанию браузер будет всегда запускаться в режиме "on-line".
  • Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами: 
    %System%dotnetfx.dll
    (16384 байта; MD5: 5C9F26E1C4C352C6D9CF97CEA3D01433, SHA1: 10DE2FFB4B8859AE6BC8C457FB226117ECE9938B) 
    %System%28463svchost.exe
    (525312 байт; детектируется Антивирусом Касперского как "not-a-virus:Monitor.Win32.Ardamax.te")

    Данная программа предназначена для наблюдения за активностью пользователя на зараженном компьютере. В зависимости от установленных настроек, программа позволяет осуществлять следующие действия:

    • вести лог нажатых пользователем клавиш клавиатуры;
    • вести лог чатов при использовании пользователем некоторых программ обмена мгновенными сообщениями;
    • вести лог буфера обмена;
    • сохранять скриншоты активного окна или всего экрана;
    • вести лог посещаемых Интернет-ресурсов; Вся собранная информация отправляется злоумышленнику. 
    %System%28463svchost.001
    (2800 байт; детектируется Антивирусом Касперского как "IM-Worm.Win32.Sohanad.it") 
    %System%28463svchost.002
    (8418 байт)
  • Запускает системную утилиту "rundll32.exe" со следующими параметрами: 
    dotnetfx.dll,repair
    Таким образом, из ранее извлеченной библиотеки вызывается функция "repair".
  • Запускает на выполнение извлеченный ранее файл "svchost.exe".
  • Записывает в файл: 
    
%System%setup.ini
    (96 байт; детектируется Антивирусом Касперского как "Trojan.Win32.AutoRun.ke") команды автозапуска файла "regsvr.exe": 
    
[Autorun]

Open=regsvr.exe

Shellexecute=regsvr.exe

ShellOpencommand=regsvr.exe

Shell=Open
  • Загружает с одного из хостов: 
    
87.***.122

69.***.65
    файл инициализации, который сохраняется как 
    %System%setting.ini
    На момент создания описания файл не загружался.

    Загружаемый файл содержит ссылки для загрузки на зараженный компьютер других вредоносных программ. По полученным ссылкам вредонос осуществляет загрузку с последующим запуском загруженных файлов на выполнение.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Related articles
19 April 2024
Securelist
Managed Detection and Response — отчет за 2023 год
18 April 2024
Securelist
Реагирование на инциденты: аналитический отчет за 2023 год
18 April 2024
Securelist
История с бэкдором в XZ — первоначальный анализ
17 April 2024
Securelist
SoumniBot: уникальные техники нового банкера для Android
16 April 2024
Securelist
Билдер LockBit и целевые шифровальщики
20 March 2024
Securelist
Зловреды для Android на любой вкус
Нашли неточность в описании этой уязвимости?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Нашли новую угрозу или уязвимость?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Продукты
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Select language
Sorting
Угроза
Confirm changes?
Your message has been sent successfully.