Name:Worm/Locksky.BG.1
Entdeckt am:08/08/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:16.384 Bytes
MD5 Prüfsumme:3de189722f632d2a6b3a08c49e7db6b6
VDF Version:6.38.01.081
IVDF Version:6.38.01.085

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\spoolsvv.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://5sec.name/panel/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %sysdir%\netsh.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall set allowedprogram "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%" enable

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
   • htm


Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • admin
   • webmaster
   • support


 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Erstellte Protokolldatei
    • IP Adresse
    • Aktueller Malware Status
    • Systemzeit

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • !aBirValG!

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Monica Ghitun am Dienstag, 6. November 2007
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 8. November 2007

zurück . . . .