¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Locksky.BG.1
Descubierto:08/08/2007
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:16.384 Bytes
Suma de control MD5:3de189722f632d2a6b3a08c49e7db6b6
Versin del VDF:6.38.01.081
Versin del IVDF:6.38.01.085

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\spoolsvv.exe




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://5sec.name/panel/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.



Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %sysdir%\netsh.exe
Ejecuta el fichero con los parmetros siguientes: firewall set allowedprogram "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%" enable

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en el siguiente fichero:
   • htm


Creacin de direcciones para el campo DE (remitente):
Para generar direcciones, emplea los siguientes textos:
   • admin
   • webmaster
   • support


 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

De esta forma puede enviar informaciones.

Enva informaciones acerca de:
     Ficheros de informe creados
     Direccin IP
     Estado actual del programa viral
     Hora del sistema

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • !aBirValG!

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Monica Ghitun el martes 6 de noviembre de 2007
Descripción actualizada por Andrei Gherman el jueves 8 de noviembre de 2007

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.