Nume:Worm/Locksky.T
Descoperit pe data de:09/01/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:28.866 Bytes
MD5:b7798121979f0840655e4437e2b3f0bb
Versiune VDF:6.33.00.102

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.t
   •  TrendMicro: WORM_LOCKSKY.AB
   •  F-Secure: Email-Worm.Win32.Locksky.t
   •  Sophos: W32/Loosky-DR
   •  Panda: W32/Locksky.AL.worm
   •  VirusBuster: I-Worm.Locksky.AD
   •  Bitdefender: Win32.Locksky.Z@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\sachostx.exe
   • %directorul de activare malware%\temp.bak



Sterge urmatorul fisier:
   • %SYSDIR%\hard.lck



Sunt create fisierele:

– %SYSDIR%\msvcrl.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.P.9

– %SYSDIR%\sachostp.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.V.1.B

– %SYSDIR%\sachostc.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: BDS/Locksky.K

– %SYSDIR%\sachostw.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.T.6

– %SYSDIR%\sachosts.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.V.1.C




Incearca sa descarce un fisier:

– Adresele sunt urmatoarele:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directorul de activare malware%\%fisier executat% "="%directorul de activare malware%\ %fisier executat% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Urmatorul:
   • Your mail Account is Suspended



Corpul email-ului:
Corpul email-ului este:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatorul fisier:
   • htm

 Backdoor Deschide porturile:

– %SYSDIR%\sachosts.exe port TCP aleator pentru a functiona ca server HTTP.
– %SYSDIR%\sachostc.exe port TCP aleator pentru a functiona ca server proxy.


Servere contactate:
Urmatorul:
   • http://proxy4u.ws/index.php?

Astfel se pot transmite informatii.

Trimte informatii despre:
    • Adresa IP
    • Statusul actual al malware-ului
    • Port deschis

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %SYSDIR%\msvcrl.dll

    Numele procesului:
   • %toate procesele active%


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description inserted by Irina Boldea on Tuesday, April 18, 2006
Description updated by Irina Boldea on Thursday, April 20, 2006

Back . . . .