Worm/Locksky.BG.1 - Worm

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	Worm/Locksky.BG.1
Entdeckt am:	08/08/2007
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	16.384 Bytes
MD5 Prüfsumme:	3de189722f632d2a6b3a08c49e7db6b6
VDF Version:	6.38.01.081
IVDF Version:	6.38.01.085

General Verbreitungsmethode:
   • Email

Aliases:
   • Mcafee: W32/Loosky
   • Kaspersky: Email-Worm.Win32.Locksky.bg
   • F-Secure: Email-Worm.Win32.Locksky.bg
   • Panda: W32/LockSky.DY.worm
   • Grisoft: I-Worm/Locksky.CW
   • Eset: Win32/Spabot.U
   • Bitdefender: Win32.Locksky.BF

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\spoolsvv.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://5sec.name/panel/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %sysdir%\netsh.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall set allowedprogram "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%" enable

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "spoolsvv"="%SYSDIR%\spoolsvv.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:

Von:
Die Absenderadresse wurde gefälscht.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)

Dateianhang:

Der Dateianhang ist eine Kopie der Malware.

Versand Suche nach Adressen:
Es durchsucht folgende Datei nach Emailadressen:
   • htm

Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • admin
   • webmaster
   • support

Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

Hierdurch können Informationen gesendet werden.

Sende Informationen über:
    • Erstellte Protokolldatei
    • IP Adresse
    • Aktueller Malware Status
    • Systemzeit

Diverses Mutex:
Es wird folgender Mutex erzeugt:
• !aBirValG!

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• UPX

Kurzfassung hier.

Beschreibung erstellt von Monica Ghitun am Tue, 06 Nov 2007 13:50 (GMT+1)
Beschreibung geändert von Andrei Gherman am Thu, 08 Nov 2007 08:46 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück