Win32.HLLW.Texmer
(Worm.Generic.30728, IM-Worm.Win32.Sohanad.ap, IM-Worm.Win32.Sohanad.ao, Worm/Sohanad.AV, Worm:Win32/Sohanad.I, Trojan-Downloader.Win32.VB.aoh, WORM_SOHANAD.EK, Generic VB.b, DR/Sohanad.E.1, IM-Worm.Win32.Qucan.h, W32/YahLover.worm.gen, Clicker.ICO, Worm.Win32.AutoRun.rtu, WORM_SOHANAD.CK, Win32/Sohonad.AM, Generic.dw, Worm/Autoit.AX, Worm:Win32/Sohonad, Mal_SHND-4, TrojanDownloader:Win32/Tearspear, WORM_SOHANAD.EY)
Описание добавлено:
2006-10-08
Тип вируса:
Internet Messenger червь
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 9 728, 11 776, 181 944, 185 666 байт
Упакован: UPX
Техническая информация
Написан на скриптовом языке AutoIt.
Распространяется посредством средств быстрых сообщений Yahoo! Messenger, Windows Live Messenger и Windows Messenger, рассылая друзьям пользователя зараженной машины ссылки.
Страница, которая приводится червём в сообщении содержит скрипт, выполнение которого происходит, если пользователь применяет для веб-серфинга браузер Internet Explorer. В результате выполнения скрипта на компьютер пользователя скачивается тело червя, а также программа, отвечающая за обноление червя. Детектирование скрипта внесено как VBS.Psyme.269
Будучи запущенным на исполнение для обеспечения своей дальнейшей работы червь модифицирует реестр, внося свои данные в секцию автозагрузки:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Task Manager" = C:\%WinDir%\system\svchost32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SVCHOST" = C:\%WinDir%\system\svchost32.exe
Подменяет стартовую страницу в web-браузере Internet Explorer.
Останавливает процессы некоторых антивирусов.
Блокирует работу с реестром, а также Диспетчер задач Windows.
