¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.K.6
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:30.373 Bytes
Suma de control MD5:f5a61e5640b12c0F651d738c6bb5d484
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta ficheros
   • Suelta ficheros dainos
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado despus:
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini En este fichero se registran las pulsaciones de teclado.
%SYSDIR%\msvcrl.dll Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.B.3

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es la cuenta de Outlook del usuario.
El remitente del mensaje de correo es el siguiente:
   • %dominio de los destinatarios%


Para:
El destinatario del mensaje es el siguiente:
   • %cuenta del cliente de correo electrnico%


El cuerpo del mensaje:
– Contiene cdigo HTML.
El cuerpo del mensaje es el siguiente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
El nombre del fichero adjunto es:
   • acc_info1.exe

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve as:


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\sachostb.exe en el puerto TCP 321 para proporcionar capabilidades de backdoor.
%SYSDIR%\sachostc.exe en un puerto TCP aleatorio para funcionar como servidor proxy.
%SYSDIR%\sachosts.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 4,


Servidor contactado:
La siguiente:
   • http://pro**********.ws/index.php

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogacin HTTP GET en un script PHP.


Enva informaciones acerca de:
     Direccin IP
     Estado actual del programa viral
     Puerto abierto


Capabilidades de control remoto:
     Fallo de conexin
     Cambiar directorio
     Copiar fichero
     Eliminar archivo
     Listar directorio
     Mostrar un mensaje
     Descargar fichero
     Ejecutar fichero
     Trasladar fichero

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas tipeadas en los campos de contraseas
 Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Daniel Constantin el lunes 19 de diciembre de 2005
Descripción actualizada por Daniel Constantin el martes 3 de enero de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.