Nom:Worm/Locksky.K.6
La date de la découverte:12/12/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:30.373 Octets
Somme de contrôle MD5:f5a61e5640b12c0F651d738c6bb5d484
Version VDF:6.33.00.19

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Il emploie son propre moteur de courrier électronique
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini Ce fichier contient des frappes de touche collectés.
%SYSDIR%\msvcrl.dll Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.B.3

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.
L'expéditeur de cet e-mail est ce qui suit:
   • %le domaine du destinataire%


A:
Le destinataire de l'email est le suivant:
   • %le compte de l'application d'email%


Corps:
– Il contient du code HTML
Le corps de l'email est le suivant:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Le nom de fichier de l'attachement est:
   • acc_info1.exe

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\sachostb.exe sur le port TCP 321 afin de fournir de capacités de porte dérobée
%SYSDIR%\sachostc.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.
%SYSDIR%\sachosts.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy Sock 4.


Serveur de contact:
Le suivant:
   • http://pro**********.ws/index.php

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • L'adresse IP:
    • Le statut courant du malware
    • Port ouvert


Capacités d'accès à distance:
    • Arrête connexion
    • Changer dossier
    • Copier fichier
    • Supprime le fichier
    • Listage dossier
    • Il affiche un message
    • Télécharger un fichier
    • Exécuter un fichier
    • Deplacer fichier

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Daniel Constantin le lundi 19 décembre 2005
Description mise à jour par Daniel Constantin le mardi 3 janvier 2006

Retour . . . .