¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.T.7
Descubierto:10/01/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:29.200 Bytes
Suma de control MD5:26e706a59ea3d3286d618faf11477262
Versión del VDF:6.33.00.108

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.t
   •  TrendMicro: WORM_LOCKSKY.F
   •  F-Secure: Troj/Loosky-AI
   •  VirusBuster: I-Worm.Locksky.AJ
   •  Eset: Win32/Locksky.Y
   •  Bitdefender: Win32.Locksky.T@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\sachostx.exe
   • %directorio donde se ejecuta el programa viral%\temp.bak



Elimina el siguiente fichero:
   • %SYSDIR%\hard.lck



Crea los siguientes ficheros:

%SYSDIR%\msvcrl.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Locksky.K

%SYSDIR%\sachostw.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Locksky.V.1.C




Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% "="%directorio donde se ejecuta el programa viral%\ %ficheros ejecutados% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • Your mail Account is Suspended



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • htm

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%SYSDIR%\sachosts.exe en un puerto TCP aleatorio para funcionar como servidor HTTP.
%SYSDIR%\sachostc.exe en un puerto TCP aleatorio para funcionar como servidor proxy.


Servidor contactado:
La siguiente:
   • http://proxy4u.ws/index.php?

De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Dirección IP
    • Estado actual del programa viral
    • Puerto abierto

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\msvcrl.dll

    Nombre del proceso:
   • %todos los procesos activos%


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes, 16 de mayo de 2006
Descripción actualizada por Irina Boldea el martes, 16 de mayo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.