¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.AG.1
Descubierto:20/03/2006
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:28.144 Bytes
Suma de control MD5:6e5484357bb2c76edc02cc02176f053c
Versin del VDF:6.34.00.75 - lunes 20 de marzo de 2006
Versin del IVDF:6.34.00.75 - lunes 20 de marzo de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: Spam-FiveSec
   •  Kaspersky: Email-Worm.Win32.Locksky.ag
   •  TrendMicro: WORM_LOCKSKY.BC
   •  VirusBuster: Worm.Locksky.BV
   •  Eset: Win32/Locksky.NAA
   •  Bitdefender: Win32.Locksky.AG@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\spoolsvv.exe




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://5sec**********/panel/upd1.txt
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directorio donde se ejecuta el programa viral%\%ficheros
      ejecutados%
"="%directorio donde se ejecuta el programa
      viral%
\%ficheros ejecutados% :*:Enabled:enable"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • htm


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • admin
   • webmaster
   • support


 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://5sec**********/panel/task.php?
   • http://5sec**********/panel/report.php?
   • http://5sec**********/panel/inst.php?

De esta forma puede enviar informaciones.

Enva informaciones acerca de:
     Direccin IP
     Estado actual del programa viral

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el miércoles 19 de julio de 2006
Descripción actualizada por Irina Boldea el lunes 31 de julio de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.