¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.K.6
Descubierto:13/12/2012
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:30.373 Bytes
Suma de control MD5:f5a61e5640b12c0F651d738c6bb5d484
Versión del VDF:7.11.53.216

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Contiene su propio motor para generar mensajes de correo
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini En este fichero se registran las pulsaciones de teclado.
%SYSDIR%\msvcrl.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.B.3

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.
El remitente del mensaje de correo es el siguiente:
   • %dominio de los destinatarios%


Para:
El destinatario del mensaje es el siguiente:
   • %cuenta del cliente de correo electrónico%


El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es el siguiente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
El nombre del fichero adjunto es:
   • acc_info1.exe

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\sachostb.exe en el puerto TCP 321 para proporcionar capabilidades de backdoor.
%SYSDIR%\sachostc.exe en un puerto TCP aleatorio para funcionar como servidor proxy.
%SYSDIR%\sachosts.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 4,


Servidor contactado:
La siguiente:
   • http://pro**********.ws/index.php

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Dirección IP
    • Estado actual del programa viral
    • Puerto abierto


Capabilidades de control remoto:
    • Fallo de conexión
    • Cambiar directorio
    • Copiar fichero
    • Eliminar archivo
    • Listar directorio
    • Mostrar un mensaje
    • Descargar fichero
    • Ejecutar fichero
    • Trasladar fichero

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Daniel Constantin el lunes, 19 de diciembre de 2005
Descripción actualizada por Daniel Constantin el martes, 3 de enero de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.