Имя:Worm/Locksky.K.6
Обнаружен:12/12/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:30.373 байт.
Контрольная сумма MD5:f5a61e5640b12c0F651d738c6bb5d484
Версия VDF:6.33.00.19

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Locksky.k
   •  F-Secure: W32/Locksky.D
   •  VirusBuster: iworm I-Worm.Locksky.R
   •  Bitdefender: Win32.Locksky.F@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файл
   • Создает файлы
   • Создает вредоносные файлы
   • Использует собственный почтовый движок
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создаются собственные копии:
   • %WINDIR%\sachostx.exe
   • %malware execution folder%\temp.bak



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %SYSDIR%\hard.lck

%SYSDIR%\attrib.ini Файл содержит строки введенных с клавиатуры символов
%SYSDIR%\msvcrl.dll После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Locksky.K.Dll

%SYSDIR%\sachostb.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Locksky.K.2

%SYSDIR%\sachostp.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Locksky.K.3

%SYSDIR%\sachosts.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Locksky.K.4

%SYSDIR%\sachostw.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Locksky.K.5

%SYSDIR%\sachostc.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Locksky.B.3

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "HostSrv" = "%WINDIR%\sachostx.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя - учетная запись пользователя Outlook
Отправитель письма:
   • %Домен получателя%


Кому:
Получателем письма является:
   • %аккаунт почтового приложения%


Тело:
– Содержит HTML код.
Тело письма имеет следующий вид:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Следующее имя прикрепленного файла:
   • acc_info1.exe

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Backdoor Открываются следующие порты:

%SYSDIR%\sachostb.exe по TCP порту 321 для обеспечения backdoor функции.
%SYSDIR%\sachostc.exe к произвольному TCP порту чтобы обеспечить наличие прокси-сервера.
%SYSDIR%\sachosts.exe к произвольному TCP порту чтобы обеспечить Socks4 прокси-сервера.


Устанавливает соединение с сервером
Следующий:
   • http://pro**********.ws/index.php

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • IP адрес
    • Текущий malware статус.
    • Открытый порт


Возможности удаленного контроля:
    • Разрыв соединения
    • Смена директории
    • Копировать файл
    • Удалить файл
    • Перечень файлов директории
    • Отображение сообщения
    • Загрузить файл
    • Запустить файл
    • Переместить файл

 Кража Попытка кражи следующей информации:
– Введенные в поле пароля символы
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Daniel Constantin в(о) понедельник, 19 декабря 2005 г.
Описание обновил Daniel Constantin в(о) вторник, 3 января 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.