Nume:Worm/Locksky.K.6
Descoperit pe data de:12/12/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:30.373 Bytes
MD5:f5a61e5640b12c0F651d738c6bb5d484
Versiune VDF:6.33.00.19

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\hard.lck

– %SYSDIR%\attrib.ini Acest fisier stocheaza datele introduse de utilizator la tastatura.
– %SYSDIR%\msvcrl.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.Dll

– %SYSDIR%\sachostb.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.2

– %SYSDIR%\sachostp.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.3

– %SYSDIR%\sachosts.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.4

– %SYSDIR%\sachostw.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.5

– %SYSDIR%\sachostc.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.B.3

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului
Expeditorul email-ului este urmatorul:
   • %domeniul destinatarului%


Catre:
Destinatarul mesajului este:
   • %contul clientului de email%


Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Numele fisierului atasat este urmatorul:
   • acc_info1.exe

Atasamentul este o copie malware.



Email-ul arata astfel:


 Backdoor Deschide porturile:

– %SYSDIR%\sachostb.exe pe portul TCP 321 pentru a oferi functionalitate de backdoor.
– %SYSDIR%\sachostc.exe port TCP aleator pentru a functiona ca server proxy.
– %SYSDIR%\sachosts.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:
Urmatorul:
   • http://pro**********.ws/index.php

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Adresa IP
    • Statusul actual al malware-ului
    • Port deschis


Posibilitati de control la distanta:
    • Intrerupere conexiune
    • Schimbare director
    • Copiere fisier
    • Sterge fisierul
    • Listare director
    • Afiseaza un mesaj
    • descarcare fisier
    • executarea unui fisier
    • Mutare fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Daniel Constantin on Monday, December 19, 2005
Description updated by Daniel Constantin on Tuesday, January 3, 2006

Back . . . .