Nume:Worm/Locksky.BG.1
Descoperit pe data de:08/08/2007
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:16.384 Bytes
MD5:3de189722f632d2a6b3a08c49e7db6b6
Versiune VDF:6.38.01.081
Versiune IVDF:6.38.01.085

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\spoolsvv.exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://5sec.name/panel/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %sysdir%\netsh.exe
cu urmatorii parametri: firewall set allowedprogram "%directorul de activare malware%\%fisier executat%" enable

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Atasament:

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatorul fisier:
   • htm


Genereaza adrese pentru campul expeditorului:
Pentru a genera adrese foloseste urmatoarele texte:
   • admin
   • webmaster
   • support


 Backdoor Servere contactate:
Urmatoarele:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

Astfel se pot transmite informatii.

Trimte informatii despre:
    • Loguri create
    • Adresa IP
    • Statusul actual al malware-ului
    • Ora sistemului

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • !aBirValG!

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrição enviada por Monica Ghitun em terça-feira, 6 de novembro de 2007
Descrição atualizada por Andrei Gherman em quinta-feira, 8 de novembro de 2007

Voltar . . . .