Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Locksky.T.7
Data em que surgiu:10/01/2006
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:29.200 Bytes
MD5 checksum:26e706a59ea3d3286d618faf11477262
Verso VDF:6.33.00.108

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.t
   •  TrendMicro: WORM_LOCKSKY.F
   •  F-Secure: Troj/Loosky-AI
   •  VirusBuster: I-Worm.Locksky.AJ
   •  Eset: Win32/Locksky.Y
   •  Bitdefender: Win32.Locksky.T@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informao de roubos
   • Possibilita acesso no autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\sachostx.exe
   • %directrio de execuo do malware%\temp.bak



Elimina o seguinte ficheiro:
   • %SYSDIR%\hard.lck



So criados os seguintes ficheiros:

%SYSDIR%\msvcrl.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Alm disso executa-se depois de gerado. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Alm disso executa-se depois de gerado. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: BDS/Locksky.K

%SYSDIR%\sachostw.exe Alm disso executa-se depois de gerado. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Alm disso executa-se depois de gerado. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: Worm/Locksky.V.1.C




Tenta efectuar o download do ficheiro:

A partir das seguintes localizaes:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Cria a seguinte entrada de forma a fazer um bypass firewall do Windows XP:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directrio de execuo do malware%\%ficheiro executado% "="%directrio de execuo do malware%\ %ficheiro executado% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O seguinte:
   • Your mail Account is Suspended



Corpo:
O corpo do email o seguinte:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

O ficheiro de atalho uma cpia do malware.

 Mailing Pesquisa endereos:
Procura endereos de email no seguinte ficheiro:
   • htm

 Backdoor So abertas as seguintes portas:

%SYSDIR%\sachosts.exe numa porta TCP aleatria Por forma a fornecer um servidor HTTP.
%SYSDIR%\sachostc.exe numa porta TCP aleatria de forma a fornecer um servidor proxy.


Contacta o servidor:
Seguinte:
   • http://proxy4u.ws/index.php?

Como resultado pode enviar alguma informao.

Envia informao sobre:
     Endereo IP
     Situao actual de malware
     Porta aberta

 Introduo de cdigo viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\msvcrl.dll

    Nome do processo:
   • %todos os processo em execuo%


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Irina Boldea em terça-feira, 16 de maio de 2006
Descrição atualizada por Irina Boldea em terça-feira, 16 de maio de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.