Имя:Worm/Locksky.BG.1
Обнаружен:08/08/2007
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:16.384 байт.
Контрольная сумма MD5:3de189722f632d2a6b3a08c49e7db6b6
Версия VDF:6.38.01.081
Версия IVDF:6.38.01.085

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Loosky
   •  Kaspersky: Email-Worm.Win32.Locksky.bg
   •  F-Secure: Email-Worm.Win32.Locksky.bg
   •  Panda: W32/LockSky.DY.worm
   •  Grisoft: I-Worm/Locksky.CW
   •  Eset: Win32/Spabot.U
   •  Bitdefender: Win32.Locksky.BF


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\spoolsvv.exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://5sec.name/panel/**********
На момент проверки данный файл не был доступен.



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %sysdir%\netsh.exe
с помощью следующего параметра командной строки: firewall set allowedprogram "%Рабочая папка вредоносной программы%\%выполненный файл%" enable

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "spoolsvv"="%SYSDIR%\spoolsvv.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Прикрепленный файл:

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующего файла на наличие в нем электронных адресов:
   • htm


Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
   • admin
   • webmaster
   • support


 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********
   • http://5sec.name/panel/**********

В результате может пересылаться информация.

Передает информацию о:
    • Созданный лог-файл
    • IP адрес
    • Текущий malware статус.
    • Системное время

 Разное Мьютекс:
Создается мьютекс:
   • !aBirValG!

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Monica Ghitun в(о) вторник, 6 ноября 2007 г.
Описание обновил Andrei Gherman в(о) четверг, 8 ноября 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.