IM-Worm.Win32.Sohanad

Программа — червь, создающая свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Размер скрипта составляет 28298 байт. Размер скомпилированного скрипта около — 1,02 МБ.

Инсталляция

Если червь запускается с правами администратора – выполняет следующий функционал:

• Удаляет следующие файлы:

  
  
  
  %System%setup.ini
  
  
  
  %System%regsvr.exe
  
  
  
  %System%winhelp.exe
  
  
  
  %WinDir%regsvr.exe
  
  
  
  

• Переименовывает файл:

  %System%rundll.exe

  в

  %System%delete.exe

• Восстанавливает автозапуск «Проводника» перезаписав следующие значения в системный реестр:

  
  
  
  [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
  
  
  
  "Shell" = "Explorer.exe"

• Разблокирует запуск «Диспетчера задач» и «Редактора реестра» установив следующие значения в ключе системного реестра:

  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  
  
  "DisableTaskMgr"=0
  
  
  
  "DisableRegistryTools"=0
  
  
  
  

• Открывает пункт меню «Свoйcтва пaпки» в «Проводнике» и в «Панели инструментов», изменяя следующий ключ реестра:

  
  
  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
  
  
  
  "NofolderOptions" = 0
  
  
  
  

• Останавливает выполнение запланированных в Windows задач, изменяя ключ реестра:

  
  
  
  [HKLMSystemCurrentControlSetServicesSchedule] 
  
  
  
  "AtTaskMaxHours" = 0
  
  
  
  

• Отключает автозапуск приложения «Msn Messsenger», удаляя параметр «Msn Messsenger» из ключа реестра:

  [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]

Затем червь создает в системном каталоге скрытый каталог с именем «28463» и затем извлекает в него файлы со следующими именами:

System%28463svchost.exe

Данный файл имеет размер 525312 байт и детектируется антивирусом Касперского как not-a-virus:Monitor.Win32.Ardamax.te.

%System%28463svchost.001

Данный файл имеет размер 2800 байт и детектируется антивирусом Касперского как IM-Worm.Win32.Sohanad.it.

Также копирует себя под такими именами:

%System%regsvr.exe



%System%svchost.exe



%WinDir%regsvr.exe

Всем своим копиям устанавливает атрибуты «Только на чтение», «Скрытый», «Системный». Для автоматического запуска при каждом следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключи автозапуска системного реестра:

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]



"Msn Messsenger"="C:Windowssystem32regsvr.exe"



[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]



"Shell" = "Explorer.exe regsvr.exe "

Если червь запускается, не имея прав администратора – создает каталог с именем

%Documents and Settings%%Current User%Application Data



support

создает в нем копию своего исполняемого файла с именем:

%Documents and Settings%%Current User%Application Datasupportregsvr.exe

Также вредонос извлекает в данный каталог файлы:

%Documents and Settings%%Current User%



Application Datasupportsvchost.exe



%Documents and Settings%%Current User%Application Datasupportsvchost.001

и запускает файл «svchost.exe» на выполнение.

Например IM-Worm.Win32.Sohanad.qi:

После запуска червь выполняет следующие действия:

• изменяет значения ключей системного реестра:

  
  [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
  
  "DisableTaskMgr" = "0"
  
  "DisableRegistryTools" = "1"
  
  

  Это приводит к отключению системного редактора реестра.

  
  [HKLMSystemCurrentControlSetServicesSchedule]
  
  "AtTaskMaxHours" = "0"
  
  

  Таким образом, останавливается выполнение всех запланированных системным планировщиком задач.

  
  [HKCUSoftwareMicrosoftWindowsCurrentVersion
  
  Internet Settings]
  
  "GlobalUserOffline" = "0"
  
  

  Таким образом, установленный в системе по умолчанию браузер будет всегда запускаться в режиме «on-line».

• Извлекает из своего тела файлы, которые сохраняются в системе под следующими именами:

  %System%dotnetfx.dll

  (16384 байта; MD5: 5C9F26E1C4C352C6D9CF97CEA3D01433, SHA1:

  10DE2FFB4B8859AE6BC8C457FB226117ECE9938B)

  %System%28463svchost.exe

  (525312 байт; детектируется Антивирусом Касперского как «not-a-virus:Monitor.Win32.Ardamax.te»)

  Данная программа предназначена для наблюдения за активностью пользователя на зараженном компьютере. В зависимости от установленных настроек, программа позволяет осуществлять следующие действия:

  • вести лог нажатых пользователем клавиш клавиатуры;
  • вести лог чатов при использовании пользователем некоторых программ обмена мгновенными сообщениями;
  • вести лог буфера обмена;
  • сохранять скриншоты активного окна или всего экрана;
  • вести лог посещаемых Интернет-ресурсов;

    Вся собранная информация отправляется злоумышленнику.

  %System%28463svchost.001

  (2800 байт; детектируется Антивирусом Касперского как «IM-Worm.Win32.Sohanad.it»)

  %System%28463svchost.002

  (8418 байт)

• Запускает системную утилиту «rundll32.exe» со следующими параметрами:

  dotnetfx.dll,repair

  Таким образом, из ранее извлеченной библиотеки вызывается функция «repair».

• Запускает на выполнение извлеченный ранее файл «svchost.exe».
• Записывает в файл:

  
  %System%setup.ini
  
  

  (96 байт; детектируется Антивирусом Касперского как «Trojan.Win32.AutoRun.ke») команды автозапуска файла «regsvr.exe»:

  
  [Autorun]
  
  Open=regsvr.exe
  
  Shellexecute=regsvr.exe
  
  ShellOpencommand=regsvr.exe
  
  Shell=Open
  
  

• Загружает с одного из хостов:

  
  87.***.122
  
  69.***.65
  
  

  файл инициализации, который сохраняется как

  %System%setting.ini

  На момент создания описания файл не загружался.

  Загружаемый файл содержит ссылки для загрузки на зараженный компьютер других вредоносных программ. По полученным ссылкам вредонос осуществляет загрузку с последующим запуском загруженных файлов на выполнение.