Nom:Worm/Locksky.T.7
La date de la découverte:10/01/2006
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:29.200 Octets
Somme de contrôle MD5:26e706a59ea3d3286d618faf11477262
Version VDF:6.33.00.108

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.t
   •  TrendMicro: WORM_LOCKSKY.F
   •  F-Secure: Troj/Loosky-AI
   •  VirusBuster: I-Worm.Locksky.AJ
   •  Eset: Win32/Locksky.Y
   •  Bitdefender: Win32.Locksky.T@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\sachostx.exe
   • %le dossier d'exécution du malware%\temp.bak



Il supprime le fichier suivant:
   • %SYSDIR%\hard.lck



Les fichiers suivants sont créés:

%SYSDIR%\msvcrl.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Locksky.K

%SYSDIR%\sachostw.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/Locksky.V.1.C




Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%le dossier d'exécution du malware%\%le fichier exécuté% "="%le dossier d'exécution du malware%\ %le fichier exécuté% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le suivant:
   • Your mail Account is Suspended



Corps:
Le corps de l'email est le suivant:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche le fichier suivant pour des adresses email:
   • htm

 Porte dérobée Les ports suivants sont ouverts:

%SYSDIR%\sachosts.exe sur un port TCP aléatoire afin de fournir un serveur HTTP
%SYSDIR%\sachostc.exe sur un port TCP aléatoire afin de fonctionner comme serveur proxy.


Serveur de contact:
Le suivant:
   • http://proxy4u.ws/index.php?

En conséquence il peut envoyer de l'information.

Il envoie de l'information au sujet de:
    • L'adresse IP:
    • Le statut courant du malware
    • Port ouvert

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\msvcrl.dll

    Nom du processus :
   • %tous les processus en exécution"


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Boldea le mardi 16 mai 2006
Description mise à jour par Irina Boldea le mardi 16 mai 2006

Retour . . . .