Nome del virus:Worm/Locksky.R.3
Scoperto:06/01/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:29.041 Byte
Somma di controllo MD5:0997643caed20Acd483df66a14a42095
Versione VDF:6.33.00.100

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Looksky.F@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.r
   •  TrendMicro: WORM_LOCKSKY.Y
   •  F-Secure: Email-Worm.Win32.Locksky.r
   •  Sophos: W32/Loosky-L
   •  Panda: W32/LockSky.AE.worm
   •  VirusBuster: I-Worm.Locksky.AA
   •  Bitdefender: Win32.Locksky.AA@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\sachostx.exe
   • %directory di esecuzione del malware%\temp.bak



Cancella il seguente file:
   • %SYSDIR%\hard.lck



Vengono creati i seguenti file:

%SYSDIR%\msvcrl.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Locksky.K

%SYSDIR%\sachostw.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Locksky.V.1.C




Prova a scaricare un file:

– Le posizioni sono le seguenti:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directory di esecuzione del malware%\%file eseguiti% "="%directory di esecuzione del malware%\ %file eseguiti% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Il seguente:
   • Your mail Account is Suspended



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


File allegato:
Il nome del file allegato è uno dei seguenti:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
   • htm

 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\sachosts.exe su una porta TCP casuale con lo scopo di procurarsi un server HTTP.
%SYSDIR%\sachostc.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.


Contatta il server:
Il seguente:
   • http://proxy4u.ws/index.php?

Come risultato può inviare alcune informazioni.

Invia informazioni riguardanti:
    • Indirizzo IP
    • Stato corrente del malware
    • Porta aperta

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\msvcrl.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Irina Boldea su martedì 18 aprile 2006
Descrizione aggiornata da Irina Boldea su mercoledì 19 aprile 2006

Indietro . . . .