¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.R.3
Descubierto:06/01/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:29.041 Bytes
Suma de control MD5:0997643caed20Acd483df66a14a42095
Versin del VDF:6.33.00.100

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32.Looksky.F@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.r
   •  TrendMicro: WORM_LOCKSKY.Y
   •  F-Secure: Email-Worm.Win32.Locksky.r
   •  Sophos: W32/Loosky-L
   •  Panda: W32/LockSky.AE.worm
   •  VirusBuster: I-Worm.Locksky.AA
   •  Bitdefender: Win32.Locksky.AA@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\sachostx.exe
   • %directorio donde se ejecuta el programa viral%\temp.bak



Elimina el siguiente fichero:
   • %SYSDIR%\hard.lck



Crea los siguientes ficheros:

%SYSDIR%\msvcrl.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: BDS/Locksky.K

%SYSDIR%\sachostw.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Locksky.V.1.C




Intenta descargar un fichero:

Las direcciones son las siguientes:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% "="%directorio donde se ejecuta el programa viral%\ %ficheros ejecutados% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • Your mail Account is Suspended



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • htm

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\sachosts.exe en un puerto TCP aleatorio para funcionar como servidor HTTP.
%SYSDIR%\sachostc.exe en un puerto TCP aleatorio para funcionar como servidor proxy.


Servidor contactado:
La siguiente:
   • http://proxy4u.ws/index.php?

De esta forma puede enviar informaciones.

Enva informaciones acerca de:
     Direccin IP
     Estado actual del programa viral
     Puerto abierto

 Inyectar el cdigo viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\msvcrl.dll

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes 18 de abril de 2006
Descripción actualizada por Irina Boldea el miércoles 19 de abril de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.