¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.BG.1
Descubierto:08/08/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:16.384 Bytes
Suma de control MD5:3de189722f632d2a6b3a08c49e7db6b6
Versión del VDF:6.38.01.081
Versión del IVDF:6.38.01.085

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\spoolsvv.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://5sec.name/panel/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.



Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %sysdir%\netsh.exe
Ejecuta el fichero con los parámetros siguientes: firewall set allowedprogram "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%" enable

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • htm


Creación de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • admin
   • webmaster
   • support


 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Ficheros de informe creados
    • Dirección IP
    • Estado actual del programa viral
    • Hora del sistema

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • !aBirValG!

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el martes, 6 de noviembre de 2007
Descripción actualizada por Andrei Gherman el jueves, 8 de noviembre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.