Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Locksky.BG.1
Data em que surgiu:08/08/2007
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:16.384 Bytes
MD5 checksum:3de189722f632d2a6b3a08c49e7db6b6
Verso VDF:6.38.01.081
Verso IVDF:6.38.01.085

 Vulgarmente Meio de transmisso:
   • E-mail


Alias:
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows
   • Informao de roubos

 Ficheiros Autocopia-se para a seguinte localizao:
   • %SYSDIR%\spoolsvv.exe




Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://5sec.name/panel/**********
Ainda em fase de pesquisa.



Tenta executar o seguinte ficheiro:

Executa um dos seguintes ficheiros:
   • %sysdir%\netsh.exe
Executa o ficheiro com um dos seguintes parmetros: firewall set allowedprogram "%directrio de execuo do malware%\%ficheiro executado%" enable

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Atalho:

O ficheiro de atalho uma cpia do malware.

 Mailing Pesquisa endereos:
Procura endereos de email no seguinte ficheiro:
   • htm


Endereos gerados para o campo DE:
Utiliza o seguinte texto para gerar endereos:
   • admin
   • webmaster
   • support


 Backdoor Contacta o servidor:
Seguintes:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

Como resultado pode enviar alguma informao.

Envia informao sobre:
     Logfiles criados
     Endereo IP
     Situao actual de malware
     Hora de Sistema

 Informaes diversas Mutex:
Cria o seguinte Mutex:
   • !aBirValG!

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Monica Ghitun em terça-feira, 6 de novembro de 2007
Descrição atualizada por Andrei Gherman em quinta-feira, 8 de novembro de 2007

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.