Полное описание

Имя:	Worm/Locksky.BG.1
Обнаружен:	08/08/2007
Вид:	Червь
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	16.384 байт.
Контрольная сумма MD5:	3de189722f632d2a6b3a08c49e7db6b6
Версия VDF:	6.38.01.081
Версия IVDF:	6.38.01.085

Общее Метод распространения:
   • Email

Псевдонимы (аliases):
   • Mcafee: W32/Loosky
   • Kaspersky: Email-Worm.Win32.Locksky.bg
   • F-Secure: Email-Worm.Win32.Locksky.bg
   • Panda: W32/LockSky.DY.worm
   • Grisoft: I-Worm/Locksky.CW
   • Eset: Win32/Spabot.U
   • Bitdefender: Win32.Locksky.BF

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносного файл
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

Файлы Создается собственная копия:
   • %SYSDIR%\spoolsvv.exe

Попытка загрузки следующего файла:

– Следующий URL:
   • http://5sec.name/panel/**********
На момент проверки данный файл не был доступен.

Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %sysdir%\netsh.exe
с помощью следующего параметра командной строки: firewall set allowedprogram "%Рабочая папка вредоносной программы%\%выполненный файл%" enable

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "spoolsvv"="%SYSDIR%\spoolsvv.exe"

Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:

От:
Адрес отправителя был фальсифицирован.

Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты

Прикрепленный файл:

Прикрепленный файл является копией вредоносной программы:

Отправка Поиск адресов:
Проверка следующего файла на наличие в нем электронных адресов:
   • htm

Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • admin
   • webmaster
   • support

Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

В результате может пересылаться информация.

Передает информацию о:
    • Созданный лог-файл
    • IP адрес
    • Текущий malware статус.
    • Системное время

Разное Мьютекс:
Создается мьютекс:
• !aBirValG!

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Monica Ghitun в(о) вторник, 6 ноября 2007 г.
Описание обновил Andrei Gherman в(о) четверг, 8 ноября 2007 г.

Назад . . . .