Name:Worm/Locksky.V
Entdeckt am:10/01/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:29.569 Bytes
MD5 Prüfsumme:58bd17e7dde233976fd47a23f236279a
VDF Version:6.33.00.108

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.v
   •  TrendMicro: WORM_LOCKSKY.AE
   •  F-Secure: Email-Worm.Win32.Locksky.v
   •  Sophos: W32/Loosky-AC
   •  Panda: W32/Locksky.AM.worm
   •  VirusBuster: I-Worm.Locksky.AI
   •  Eset: Win32/Locksky.Z
   •  Bitdefender: Win32.Locksky.Gen@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schädliche Dateien
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\sachostx.exe
   • %Verzeichnis in dem die Malware ausgeführt wurde%\temp.bak



Folgende Datei wird gelöscht:
   • %SYSDIR%\hard.lck



Es werden folgende Dateien erstellt:

%SYSDIR%\msvcrl.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Locksky.K

%SYSDIR%\sachostw.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.V.1.C




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei% "="%Verzeichnis in dem die Malware ausgeführt wurde%\ %ausgeführte Datei% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • Your mail Account is Suspended



Body:
Der Body der Email ist folgender:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
   • htm

 Hintertür Die folgenden Ports werden geöffnet:

%SYSDIR%\sachosts.exe an einem zufälligen TCP port um einen HTTP Server zur Verfügung zu stellen.
%SYSDIR%\sachostc.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://proxy4u.ws/index.php?

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • IP Adresse
    • Aktueller Malware Status
    • Geöffneter Port

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\msvcrl.dll

    Prozessname:
   • %alle laufenden Prozesse%


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 4. April 2006
Die Beschreibung wurde geändert von Irina Boldea am Donnerstag, 20. April 2006

zurück . . . .