Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Locksky.K.6
Entdeckt am:13/12/2012
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:30.373 Bytes
MD5 Prfsumme:f5a61e5640b12c0F651d738c6bb5d484
VDF Version:7.11.53.216

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine Dateien herunter
   • Erstellt Dateien
   • Erstellt schdliche Dateien
   • Verfgt ber eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • nderung an der Registry
   • Stiehlt Informationen
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini Diese Datei enthlt gesammelte Tastatureingaben.
%SYSDIR%\msvcrl.dll Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.B.3

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung
Der Absender der Email ist folgender:
   • %Domne des Empfngers%


An:
Der Empfnger der Email ist folgender:
   • %Konto des Email Programmes%


Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Der Dateiname des Anhangs ist folgender:
   • acc_info1.exe

Der Dateianhang ist eine Kopie der Malware.



Die Email sieht wie folgt aus:


 Hintertr Die folgenden Ports werden geffnet:

%SYSDIR%\sachostb.exe am TCP Port 321 um Backdoor Funktion zur Verfgung zu stellen.
%SYSDIR%\sachostc.exe an einem zuflligen TCP port um einen Proxy Server zur Verfgung zu stellen.
%SYSDIR%\sachosts.exe an einem zuflligen TCP port um einen Socks4 Proxy Server zur Verfgung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://pro**********.ws/index.php

Hierdurch knnen Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen ber:
     IP Adresse
     Aktueller Malware Status
     Geffneter Port


Mglichkeiten der Fernkontrolle:
     Verbindungsabbruch
     Verzeichniswechsel
     Datei kopieren
     Datei lschen
     Verzeichnis auflisten
     Anzeige einer Meldung
     Datei herunterladen
     Datei ausfhren
     Datei verschieben

 Diebstahl Es wird versucht folgende Information zu klauen:
 In 'Passwort Eingabefelder' eingetippte Passwrter
 Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Daniel Constantin am Montag, 19. Dezember 2005
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 3. Januar 2006

zurück . . . .