Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Locksky.AB.1
Entdeckt am:17/01/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:29.076 Bytes
MD5 Prfsumme:3b4b68e47b1515f5296004be07411a2f
VDF Version:6.33.00.132

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Looksky.H@mm
   •  Mcafee: W32/Loosky.dr
   •  Kaspersky: Email-Worm.Win32.Locksky.ab
   •  TrendMicro: WORM_LOCKSKY.AM
   •  Sophos: W32/Loosky-AW
   •  VirusBuster: I-Worm.Locksky.AS
   •  Eset: Win32/Locksky.AI
   •  Bitdefender: Win32.Locksky.AB@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt schdliche Dateien
   • Zeichnet Tastatureingaben auf
   • nderung an der Registry
   • Stiehlt Informationen
   • Ermglicht unbefugten Zugriff auf den Computer

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\sachostx.exe
   • %Verzeichnis in dem die Malware ausgefhrt wurde%\temp.bak



Folgende Datei wird gelscht:
   • %SYSDIR%\hard.lck



Es werden folgende Dateien erstellt:

%SYSDIR%\msvcrl.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: BDS/Locksky.K

%SYSDIR%\sachostw.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.V.1.C




Es wird versucht folgende Datei herunterzuladen:

Die URLs sind folgende:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei% "="%Verzeichnis in dem die Malware ausgefhrt wurde%\ %ausgefhrte Datei% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Folgende:
   • Your mail Account is Suspended



Body:
Der Body der Email ist folgender:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
   • htm

 Hintertr Die folgenden Ports werden geffnet:

%SYSDIR%\sachosts.exe an einem zuflligen TCP port um einen HTTP Server zur Verfgung zu stellen.
%SYSDIR%\sachostc.exe an einem zuflligen TCP port um einen Proxy Server zur Verfgung zu stellen.


Kontaktiert Server:
Den folgenden:
   • http://proxy4u.ws/index.php?

Hierdurch knnen Informationen gesendet werden.

Sende Informationen ber:
     IP Adresse
     Aktueller Malware Status
     Geffneter Port

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\msvcrl.dll

    Prozessname:
   • %alle laufenden Prozesse%


 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 16. Mai 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 16. Mai 2006

zurück . . . .