VírusWorm/Locksky.AB.1
Data em que surgiu:17/01/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:29.076 Bytes
MD5 checksum:3b4b68e47b1515f5296004be07411a2f
Versão VDF:6.33.00.132

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.Looksky.H@mm
   •  Mcafee: W32/Loosky.dr
   •  Kaspersky: Email-Worm.Win32.Locksky.ab
   •  TrendMicro: WORM_LOCKSKY.AM
   •  Sophos: W32/Loosky-AW
   •  VirusBuster: I-Worm.Locksky.AS
   •  Eset: Win32/Locksky.AI
   •  Bitdefender: Win32.Locksky.AB@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\sachostx.exe
   • %directório de execução do malware%\temp.bak



Elimina o seguinte ficheiro:
   • %SYSDIR%\hard.lck



São criados os seguintes ficheiros:

%SYSDIR%\msvcrl.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Locksky.P.9

%SYSDIR%\sachostp.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Locksky.V.1.B

%SYSDIR%\sachostc.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: BDS/Locksky.K

%SYSDIR%\sachostw.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Locksky.T.6

%SYSDIR%\sachosts.exe Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Locksky.V.1.C




Tenta efectuar o download do ficheiro:

– A partir das seguintes localizações:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%directório de execução do malware%\%ficheiro executado% "="%directório de execução do malware%\ %ficheiro executado% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O seguinte:
   • Your mail Account is Suspended



Corpo:
O corpo do email é o seguinte:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email no seguinte ficheiro:
   • htm

 Backdoor São abertas as seguintes portas:

%SYSDIR%\sachosts.exe numa porta TCP aleatória Por forma a fornecer um servidor HTTP.
%SYSDIR%\sachostc.exe numa porta TCP aleatória de forma a fornecer um servidor proxy.


Contacta o servidor:
Seguinte:
   • http://proxy4u.ws/index.php?

Como resultado pode enviar alguma informação.

Envia informação sobre:
    • Endereço IP
    • Situação actual de malware
    • Porta aberta

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\msvcrl.dll

    Nome do processo:
   • %todos os processo em execução%


 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Irina Boldea em terça-feira, 16 de maio de 2006
Descrição atualizada por Irina Boldea em terça-feira, 16 de maio de 2006

Voltar . . . .