Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Locksky.K.6
Entdeckt am:13/12/2012
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:30.373 Bytes
MD5 Prüfsumme:f5a61e5640b12c0F651d738c6bb5d484
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini Diese Datei enthält gesammelte Tastatureingaben.
%SYSDIR%\msvcrl.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.B.3

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung
Der Absender der Email ist folgender:
   • %Domäne des Empfängers%


An:
Der Empfänger der Email ist folgender:
   • %Konto des Email Programmes%


Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Der Dateiname des Anhangs ist folgender:
   • acc_info1.exe

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Hintertür Die folgenden Ports werden geöffnet:

%SYSDIR%\sachostb.exe am TCP Port 321 um Backdoor Funktion zur Verfügung zu stellen.
%SYSDIR%\sachostc.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
%SYSDIR%\sachosts.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://pro**********.ws/index.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • IP Adresse
    • Aktueller Malware Status
    • Geöffneter Port


Möglichkeiten der Fernkontrolle:
    • Verbindungsabbruch
    • Verzeichniswechsel
    • Datei kopieren
    • Datei löschen
    • Verzeichnis auflisten
    • Anzeige einer Meldung
    • Datei herunterladen
    • Datei ausführen
    • Datei verschieben

 Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Montag, 19. Dezember 2005
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 3. Januar 2006

zurück . . . .