English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Locksky.BG.1
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Locksky.BG.1 - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Locksky.BG.1
Обнаружен:
08/08/2007
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
16.384 байт.
Контрольная сумма MD5:
3de189722f632d2a6b3a08c49e7db6b6
Версия VDF:
6.38.01.081
Версия IVDF:
6.38.01.085
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Mcafee: W32/Loosky
• Kaspersky: Email-Worm.Win32.Locksky.bg
• F-Secure: Email-Worm.Win32.Locksky.bg
• Panda: W32/LockSky.DY.worm
• Grisoft: I-Worm/Locksky.CW
• Eset: Win32/Spabot.U
• Bitdefender: Win32.Locksky.BF
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Загружает вредоносного файл
• Использует собственный почтовый движок
• Снижает уровень настроек безопасности
• Изменение реестра
• Похищает информацию
Файлы
Создается собственная копия:
•
%SYSDIR%
\spoolsvv.exe
Попытка загрузки следующего файла:
– Следующий URL:
• http://5sec.name/panel/**********
На момент проверки данный файл не был доступен.
Попытка запустить на выполнение следующий файл:
– Имя файла:
• %sysdir%\netsh.exe
с помощью следующего параметра командной строки: firewall set allowedprogram "
%Рабочая папка вредоносной программы%
\
%выполненный файл%
" enable
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "spoolsvv"="
%SYSDIR%
\spoolsvv.exe"
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Прикрепленный файл:
Прикрепленный файл является копией вредоносной программы:
Отправка
Поиск адресов:
Проверка следующего файла на наличие в нем электронных адресов:
• htm
Создание адресов отправителя:
Для генерации адресов применяются следующие строки:
• admin
• webmaster
• support
Backdoor
Устанавливает соединение с сервером
Все последующие:
• http://5sec.name/panel/**********
• http://5sec.name/panel/**********
• http://5sec.name/panel/**********
В результате может пересылаться информация.
Передает информацию о:
• Созданный лог-файл
• IP адрес
• Текущий malware статус.
• Системное время
Разное
Мьютекс:
Создается мьютекс:
• !aBirValG!
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Monica Ghitun Tue, 06 Nov 2007 13:50 (GMT+1)
Описание обновлено: Andrei Gherman Thu, 08 Nov 2007 08:46 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
Worm/Bagle.FJ
W32/Elkern.C
TR/Crypt.CFI.Gen
Worm/Mytob.U
Worm/Mytob.CR
TR/Dldr.Java.OpenConnection.AQ
DR/Buzus.qvy
DR/Mirar.AJ
EXP/Flash.1275
CC/00233
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Locksky.BG.1
Print this page
.gif)
