Nome del virus:Worm/Locksky.K.6
Scoperto:12/12/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:30.373 Byte
Somma di controllo MD5:f5a61e5640b12c0F651d738c6bb5d484
Versione VDF:6.33.00.19

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file
   • Duplica file
   • Duplica file “maligni”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini Questo file contiene le battute di tastiera recuperate.
%SYSDIR%\msvcrl.dll Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.B.3

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.
Il mittente della mail è il seguente:
   • %dominio del destinatario%


A:
Il destinatario dell'email è il seguente:
   • %account delle applicazioni email%


Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come il seguente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Il nome del file allegato è:
   • acc_info1.exe

L'allegato è una copia del malware stesso.



L’email si presenta come di seguito:


 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\sachostb.exe sulla porta TCP 321 con lo scopo di procurarsi delle possibili backdoor.
%SYSDIR%\sachostc.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.
%SYSDIR%\sachosts.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy Socks 4.


Contatta il server:
Il seguente:
   • http://pro**********.ws/index.php

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Indirizzo IP
    • Stato corrente del malware
    • Porta aperta


Capacità di controllo remoto:
    • Interrompere la connessione
    • Cambia directory
    • Copia file
    • Cancella il file
    • Lista delle directory
    • Visualizza un messaggio
    • Download di file
    • Eseguire file
    • Spostare file

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password inserite nei campi di input password
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Daniel Constantin su lunedì 19 dicembre 2005
Descrizione aggiornata da Daniel Constantin su martedì 3 gennaio 2006

Indietro . . . .