Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Locksky.T.7
Scoperto:10/01/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:29.200 Byte
Somma di controllo MD5:26e706a59ea3d3286d618faf11477262
Versione VDF:6.33.00.108

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.t
   •  TrendMicro: WORM_LOCKSKY.F
   •  F-Secure: Troj/Loosky-AI
   •  VirusBuster: I-Worm.Locksky.AJ
   •  Eset: Win32/Locksky.Y
   •  Bitdefender: Win32.Locksky.T@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file maligni
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alle seguenti posizioni:
   • %WINDIR%\sachostx.exe
   • %directory di esecuzione del malware%\temp.bak



Cancella il seguente file:
   • %SYSDIR%\hard.lck



Vengono creati i seguenti file:

%SYSDIR%\msvcrl.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: BDS/Locksky.K

%SYSDIR%\sachostw.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Viene eseguito ulteriormente dopo che stato completamente creato. Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Locksky.V.1.C




Prova a scaricare un file:

Le posizioni sono le seguenti:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Al momento dell'analisi questo file non era pi disponibile.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directory di esecuzione del malware%\%file eseguiti% "="%directory di esecuzione del malware%\ %file eseguiti% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Il seguente:
   • Your mail Account is Suspended



Corpo dell'email:
Il corpo dellemail come il seguente:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


File allegato:
Il nome del file allegato uno dei seguenti:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

L'allegato una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca il seguente file per gli indirizzi email:
   • htm

 Backdoor Le seguenti porte sono aperte:

%SYSDIR%\sachosts.exe su una porta TCP casuale con lo scopo di procurarsi un server HTTP.
%SYSDIR%\sachostc.exe su una porta TCP casuale con lo scopo di procurarsi un server proxy.


Contatta il server:
Il seguente:
   • http://proxy4u.ws/index.php?

Come risultato pu inviare alcune informazioni.

Invia informazioni riguardanti:
     Indirizzo IP
     Stato corrente del malware
     Porta aperta

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\msvcrl.dll

    Nome del processo:
   • %tutti i processi in esecuzione%


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Irina Boldea su martedì 16 maggio 2006
Descrizione aggiornata da Irina Boldea su martedì 16 maggio 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.