Antivirus and Security Software from Sophos

W32/Sumom-A

Alias
  • IM-Worm.Win32.Sumom.a
  • WORM_FATSO.A
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Comment il se propage
  • Peer-to-peer
Systèmes d'exploitation affectés Windows
Caractéristiques
  • S'installe dans le registre
Protection disponible depuis 7 mars 2005 14:34:45 (GMT)
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Plus d'informations

W32/Sumom-A est un ver de messagerie instantanée et P2P.W32/Sumom-A est un ver de messagerie instantanée et P2P.

W32/Sumom-A se copie dans les fichiers FORMATSYS.EXE et SERBW.EXE du dossier système Windows, dans le fichier MSMBW.EXE du dossier Windows et dans le fichier LSPT.EXE dans le dossier racine.

Pour exécuter des copies de lui-même portant le nom de ltwob", "serpe" ou "avnort" au démarrage du système, W32/Sumom-A paramètre les entrées aux emplacements suivants du registre :

HKCU\Microsoft\Windows\CurrentVersion\Run\ HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

W32/Sumom-A se copie dans les noms de fichiers suivants du dossier racine puis il tente de les envoyer via Microsoft Windows Messenger aux membres de la liste de contacts de l’utilisateur infecté :

Crazy frog gets killed by train!.pif Annoying crazy frog getting killed.pif See my lesbian friends.pif LOL that ur pic! My new photo!.pif Me on holiday!.pif The Cat And The Fan piccy.pif How a Blonde Eats a Banana...pif Mona Lisa Wants Her Smile Back.pif Topless in Mini Skirt! lol.pif Fat Elvis! lol.pif Jennifer Lopez.scr

W32/Sumom-A se copie dans le fichier AUTORUN.EXE du dossier suivant :

Documents and Settings\\Local Settings\Application Data\ Microsoft\CDBurning\

W32/Sumom-A crée le fichier AUTORUN.INF dans le même dossier afin d’exécuter sa copie AUTORUN.EXE au démarrage.

W32/Sumom-A se copie aussi dans les dossiers suivants :

My Shared Folder Program Files\eMule\Incoming Documents and Settings\<nomutilisateur>\Shared

Pour se propager sur les réseaux P2P, il se copie aussi dans les fichiers :

Messenger Plus! 3.50.exe MSN all version polygamy.exe MSN nudge bomb.exe

Pour empêcher sa suppression, W32/Sumom-A paramètre aussi les entrées de registre suivantes :

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ DisableSR = "0"

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ DisableConfig = "0"

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ Hidden = "2"

W32/Sumom-A met fin à de nombreux processus associés à des programmes antivirus et de sécurité, y compris REGEDIT.EXE, TASKMGR.EXE et MSCONFIG.EXE.

W32/Sumom-A tente de télécharger et, à certain jour du mois, d’ouvrir un fichier depuis http://frog.0catch.com vers le fichier "British National Party.jpg". Ce fichier est actuellement indisponible au téléchargement.

W32/Sumom-A injecte et exécute un fichier nommé Crazy-Frog.Html dans le dossier racine qui tente d’afficher un fichier image JPG depuis http://frog.0catch.com et aussi de contacter un script PHP sur http://udjc.com.

W32/Sumom-A tente de remplacer le fichier HOSTS par les lignes suivantes dans le but d’empêcher l’accès aux sites Web :

64.233.167.104 www.symantec.com 64.233.167.104 www.sophos.com 64.233.167.104 www.mcafee.com 64.233.167.104 www.viruslist.com 64.233.167.104 www.f-secure.com 64.233.167.104 www.avp.com 64.233.167.104 www.kaspersky.com 64.233.167.104 www.networkassociates.com 64.233.167.104 www.ca.com 64.233.167.104 www.my-etrust.com 64.233.167.104 www.nai.com 64.233.167.104 www.trendmicro.com 64.233.167.104 www.grisoft.com 64.233.167.104 securityresponse.symantec.com 64.233.167.104 symantec.com 64.233.167.104 sophos.com 64.233.167.104 mcafee.com 64.233.167.104 liveupdate.symantecliveupdate.com 64.233.167.104 viruslist.com 64.233.167.104 f-secure.com 64.233.167.104 kaspersky.com 64.233.167.104 kaspersky-labs.com 64.233.167.104 avp.com 64.233.167.104 networkassociates.com 64.233.167.104 ca.com 64.233.167.104 mast.mcafee.com 64.233.167.104 my-etrust.com 64.233.167.104 download.mcafee.com 64.233.167.104 dispatch.mcafee.com 64.233.167.104 secure.nai.com 64.233.167.104 nai.com 64.233.167.104 update.symantec.com 64.233.167.104 updates.symantec.com 64.233.167.104 us.mcafee.com 64.233.167.104 liveupdate.symantec.com 64.233.167.104 customer.symantec.com 64.233.167.104 rads.mcafee.com 64.233.167.104 trendmicro.com 64.233.167.104 grisoft.com 64.233.167.104 sandbox.norman.no 64.233.167.104 www.pandasoftware.com 64.233.167.104 uk.trendmicro-europe.com

W32/Sumom-A tente de mettre fin à certain processus et de supprimer certains fichiers associés à la famille de vers de pollupostage W32/Assiral. W32/Sumom-A injecte et, à certain jours du mois, ouvre un message à l’attention de l’auteur du ver W32/Assiral dans un fichier nommé "Message to n00b LARISSA.txt" contenant le texte suivant :

Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur