VírusWorm/Locksky.BG.1
Data em que surgiu:08/08/2007
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:16.384 Bytes
MD5 checksum:3de189722f632d2a6b3a08c49e7db6b6
Versão VDF:6.38.01.081
Versão IVDF:6.38.01.085

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\spoolsvv.exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://5sec.name/panel/**********
Ainda em fase de pesquisa.



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %sysdir%\netsh.exe
Executa o ficheiro com um dos seguintes parâmetros: firewall set allowedprogram "%directório de execução do malware%\%ficheiro executado%" enable

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Atalho:

O ficheiro de atalho é uma cópia do malware.

 Mailing Pesquisa endereços:
Procura endereços de email no seguinte ficheiro:
   • htm


Endereços gerados para o campo DE:
Utiliza o seguinte texto para gerar endereços:
   • admin
   • webmaster
   • support


 Backdoor Contacta o servidor:
Seguintes:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

Como resultado pode enviar alguma informação.

Envia informação sobre:
    • Logfiles criados
    • Endereço IP
    • Situação actual de malware
    • Hora de Sistema

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • !aBirValG!

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Monica Ghitun em terça-feira, 6 de novembro de 2007
Descrição atualizada por Andrei Gherman em quinta-feira, 8 de novembro de 2007

Voltar . . . .