¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.AG.1
Descubierto:20/03/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:28.144 Bytes
Suma de control MD5:6e5484357bb2c76edc02cc02176f053c
Versión del VDF:6.34.00.75 - lunes, 20 de marzo de 2006
Versión del IVDF:6.34.00.75 - lunes, 20 de marzo de 2006

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: Spam-FiveSec
   •  Kaspersky: Email-Worm.Win32.Locksky.ag
   •  TrendMicro: WORM_LOCKSKY.BC
   •  VirusBuster: Worm.Locksky.BV
   •  Eset: Win32/Locksky.NAA
   •  Bitdefender: Win32.Locksky.AG@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\spoolsvv.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://5sec**********/panel/upd1.txt
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directorio donde se ejecuta el programa viral%\%ficheros
      ejecutados%
"="%directorio donde se ejecuta el programa
      viral%
\%ficheros ejecutados% :*:Enabled:enable"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • htm


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • admin
   • webmaster
   • support


 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://5sec**********/panel/task.php?
   • http://5sec**********/panel/report.php?
   • http://5sec**********/panel/inst.php?

De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Dirección IP
    • Estado actual del programa viral

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el miércoles, 19 de julio de 2006
Descripción actualizada por Irina Boldea el lunes, 31 de julio de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.