Nume:Worm/Locksky.AG.1
Descoperit pe data de:20/03/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:28.144 Bytes
MD5:6e5484357bb2c76edc02cc02176f053c
Versiune VDF:6.34.00.75 - lundi 20 mars 2006
Versiune IVDF:6.34.00.75 - lundi 20 mars 2006

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: Spam-FiveSec
   •  Kaspersky: Email-Worm.Win32.Locksky.ag
   •  TrendMicro: WORM_LOCKSKY.BC
   •  VirusBuster: Worm.Locksky.BV
   •  Eset: Win32/Locksky.NAA
   •  Bitdefender: Win32.Locksky.AG@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\spoolsvv.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://5sec**********/panel/upd1.txt
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directorul de activare malware%\%fisier executat%
      "="%directorul de activare malware%\%fisier executat%
      :*:Enabled:enable"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Atasament:

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatorul fisier:
   • htm


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • admin
   • webmaster
   • support


 Backdoor Servere contactate:
Urmatoarele:
   • http://5sec**********/panel/task.php?
   • http://5sec**********/panel/report.php?
   • http://5sec**********/panel/inst.php?

Astfel se pot transmite informatii.

Trimte informatii despre:
    • Adresa IP
    • Statusul actual al malware-ului

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Description insérée par Irina Boldea le mercredi 19 juillet 2006
Description mise à jour par Irina Boldea le lundi 31 juillet 2006

Retour . . . .