Nume:Worm/Locksky.K.6
Descoperit pe data de:12/12/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:30.373 Bytes
MD5:f5a61e5640b12c0F651d738c6bb5d484
Versiune VDF:6.33.00.19

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Utilizeaza propriul motor de email
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %SYSDIR%\hard.lck

– %SYSDIR%\attrib.ini Acest fisier stocheaza datele introduse de utilizator la tastatura.
– %SYSDIR%\msvcrl.dll Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.Dll

– %SYSDIR%\sachostb.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.2

– %SYSDIR%\sachostp.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.3

– %SYSDIR%\sachosts.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.4

– %SYSDIR%\sachostw.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.K.5

– %SYSDIR%\sachostc.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Locksky.B.3

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului
Expeditorul email-ului este urmatorul:
   • %domeniul destinatarului%


Catre:
Destinatarul mesajului este:
   • %contul clientului de email%


Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Numele fisierului atasat este urmatorul:
   • acc_info1.exe

Atasamentul este o copie malware.



Email-ul arata astfel:


 Backdoor Deschide porturile:

– %SYSDIR%\sachostb.exe pe portul TCP 321 pentru a oferi functionalitate de backdoor.
– %SYSDIR%\sachostc.exe port TCP aleator pentru a functiona ca server proxy.
– %SYSDIR%\sachosts.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,


Servere contactate:
Urmatorul:
   • http://pro**********.ws/index.php

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Adresa IP
    • Statusul actual al malware-ului
    • Port deschis


Posibilitati de control la distanta:
    • Intrerupere conexiune
    • Schimbare director
    • Copiere fisier
    • Sterge fisierul
    • Listare director
    • Afiseaza un mesaj
    • descarcare fisier
    • executarea unui fisier
    • Mutare fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole tastate in campuri de logare
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Daniel Constantin le lundi 19 décembre 2005
Description mise à jour par Daniel Constantin le mardi 3 janvier 2006

Retour . . . .