Worm/Locksky.K.6 - Worm

Siehe auch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Locksky.K.6
Entdeckt am:	12/12/2005
Art:	Worm
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	30.373 Bytes
MD5 Prüfsumme:	f5a61e5640b12c0F651d738c6bb5d484
VDF Version:	6.33.00.19 - Mon, 12 Dec 2005 13:02 (GMT+1)

General Verbreitungsmethode:
   • Email

Aliases:
   • Kaspersky: Email-Worm.Win32.Locksky.k
   • F-Secure: W32/Locksky.D
   • VirusBuster: iworm I-Worm.Locksky.R
   • Bitdefender: Win32.Locksky.F@mm

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Verfügt über eigene Email Engine
   • Zeichnet Tastatureingaben auf
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\hard.lck

– %SYSDIR%\attrib.ini Diese Datei enthält gesammelte Tastatureingaben.
– %SYSDIR%\msvcrl.dll Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.Dll

– %SYSDIR%\sachostb.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.2

– %SYSDIR%\sachostp.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.3

– %SYSDIR%\sachosts.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.4

– %SYSDIR%\sachostw.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.K.5

– %SYSDIR%\sachostc.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Locksky.B.3

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "HostSrv" = "%WINDIR%\sachostx.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse ist des Benutzers Outlook Benutzerkennung
Der Absender der Email ist folgender:
   • %Domäne des Empfängers%

An:
Der Empfänger der Email ist folgender:
   • %Konto des Email Programmes%

Body:
– Verwendung von HTML Inhalten.
Der Body der Email ist folgender:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Der Dateiname des Anhangs ist folgender:
   • acc_info1.exe

Der Dateianhang ist eine Kopie der Malware.

Die Email sieht wie folgt aus:

Hintertür Die folgenden Ports werden geöffnet:

– %SYSDIR%\sachostb.exe am TCP Port 321 um Backdoor Funktion zur Verfügung zu stellen.
– %SYSDIR%\sachostc.exe an einem zufälligen TCP port um einen Proxy Server zur Verfügung zu stellen.
– %SYSDIR%\sachosts.exe an einem zufälligen TCP port um einen Socks4 Proxy Server zur Verfügung zu stellen.

Kontaktiert Server:
Den folgenden:
   • http://pro**********.ws/index.php

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • IP Adresse
    • Aktueller Malware Status
    • Geöffneter Port

Möglichkeiten der Fernkontrolle:
    • Verbindungsabbruch
    • Verzeichniswechsel
    • Datei kopieren
    • Datei löschen
    • Verzeichnis auflisten
    • Anzeige einer Meldung
    • Datei herunterladen
    • Datei ausführen
    • Datei verschieben

Diebstahl Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Daniel Constantin am Mon, 19 Dec 2005 15:56 (GMT+1)
Beschreibung geändert von Daniel Constantin am Tue, 03 Jan 2006 14:53 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück