Name:Worm/Locksky.AG.1
Entdeckt am:20/03/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:28.144 Bytes
MD5 Prüfsumme:6e5484357bb2c76edc02cc02176f053c
VDF Version:6.34.00.75 - Montag, 20. März 2006
IVDF Version:6.34.00.75 - Montag, 20. März 2006

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: Spam-FiveSec
   •  Kaspersky: Email-Worm.Win32.Locksky.ag
   •  TrendMicro: WORM_LOCKSKY.BC
   •  VirusBuster: Worm.Locksky.BV
   •  Eset: Win32/Locksky.NAA
   •  Bitdefender: Win32.Locksky.AG@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\spoolsvv.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://5sec**********/panel/upd1.txt
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%Verzeichnis in dem die Malware ausgeführt
      wurde%\%ausgeführte Datei% "="%Verzeichnis in dem die
      Malware ausgeführt wurde%\%ausgeführte Datei%
      :*:Enabled:enable"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
   • htm


Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • admin
   • webmaster
   • support


 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://5sec**********/panel/task.php?
   • http://5sec**********/panel/report.php?
   • http://5sec**********/panel/inst.php?

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • IP Adresse
    • Aktueller Malware Status

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Irina Boldea am Mittwoch, 19. Juli 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 31. Juli 2006

zurück . . . .