Full description

ウイルス	Worm/Locksky.Y
発見日：	12/01/2006
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	28.864 バイト
MD5　チェックサム	2cd320405e8a9880e8ac37e811d6c21f
VDFファージョン：	6.33.00.114

一般情報 感染方法
   • Eメール

別名
   • Symantec: W32.Looksky.G@mm
   • Kaspersky: Email-Worm.Win32.Locksky.v
   • TrendMicro: WORM_LOCKSKY.AE
   • F-Secure: Email-Worm.Win32.Locksky.y
   • Sophos: W32/Loosky-V
   • Panda W32/LockSky.AP.worm
   • VirusBuster: I-Worm.Locksky.AK
   • Eset Win32/Locksky.Z
   • Bitdefender: Win32.Locksky.Gen@mm

プラットフォーム/OS：
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

副作用
   • 悪意ファイルを作成します。
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。
   • サード・パーティ・コントロール

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\sachostx.exe
   • %実行されたマルウェアのディレクトリ%\temp.bak

以下のファイルを消去します。
   • %SYSDIR%\hard.lck

以下のファイルが作成されます：

– %SYSDIR%\msvcrl.dll 詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： Worm/Locksky.P.9

– %SYSDIR%\sachostp.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： Worm/Locksky.V.1.B

– %SYSDIR%\sachostc.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： BDS/Locksky.K

– %SYSDIR%\sachostw.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： Worm/Locksky.T.6

– %SYSDIR%\sachosts.exe 作成が完了した後、起動されます。詳しい調査の結果、このファイルもマルウェアであることが判明しました。以下のように検出されました： Worm/Locksky.V.1.C

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"

ウインドウズXPのファイアウォールをバイパスするため、以下のエントリを作成します：

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%実行されたマルウェアのディレクトリ%\%実行ファイル% "="%実行されたマルウェアのディレクトリ%\ %実行ファイル% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

件名
以下のもの：
   • Your mail Account is Suspended

本文
メールの本文は以下の通りです：

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.

添付ファイル
添付ファイルの名前は：
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

添付ファイルは、マルウェア自身のコピーです。

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
• htm

バックドア以下のポートが開かれます：

– %SYSDIR%\sachosts.exe 無作為に選ばれたTCPポート上に HTTPサーバを供給するため
– %SYSDIR%\sachostc.exe 無作為に選ばれたTCPポート上にプロキシ・サーバを準備するため

サーバに接続します。
以下のもの：
   • http://proxy4u.ws/index.php?

結果、いくつかの情報を送る可能性があります。

以下についての情報を送ります：
    • IPアドレス
    • 現在のマルウェアのステータス
    • 開かれたポート

挿入(Injection) – 以下のファイルをプロセスに挿入させます： %SYSDIR%\msvcrl.dll

プロセス名：｜以下のすべて：
• %すべての起動中のプロセス%

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

説明の挿入者 Irina Boldea の 2006年4月18日火曜日
説明の更新者 Irina Boldea の 2006年4月20日木曜日

戻る . . . .

マイアカウント