Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Locksky.V
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:29.569 字节
MD5 校检和:58bd17e7dde233976fd47a23f236279a
VDF 版本:7.11.53.216

 况概描述 传播方法:
   • 电子邮件


别名:
   •  Symantec: W32.Looksky.G@mm
   •  Kaspersky: Email-Worm.Win32.Locksky.v
   •  TrendMicro: WORM_LOCKSKY.AE
   •  F-Secure: Email-Worm.Win32.Locksky.v
   •  Sophos: W32/Loosky-AC
   •  Panda: W32/Locksky.AM.worm
   •  VirusBuster: I-Worm.Locksky.AI
   •  Eset: Win32/Locksky.Z
   •  Bitdefender: Win32.Locksky.Gen@mm


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 植入恶意文件
   • 记录按键
   • 注册表修改
   • 窃取信息
   • 第三方控件

 文件 它将本身复制到以下位置:
   • %WINDIR%\sachostx.exe
   • %恶意软件执行目录%\temp.bak



删除以下文件:
   • %SYSDIR%\hard.lck



创建以下文件:

– %SYSDIR%\msvcrl.dll 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Locksky.P.9

– %SYSDIR%\sachostp.exe 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Locksky.V.1.B

– %SYSDIR%\sachostc.exe 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: BDS/Locksky.K

– %SYSDIR%\sachostw.exe 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Locksky.T.6

– %SYSDIR%\sachosts.exe 成功创建后,它会被执行。 进一步的调查表明,此文件是恶意软件。 检测为: Worm/Locksky.V.1.C




它会尝试下载文件:

– 这些位置如下所示:
   • http://proxy4u.ws:8080/**********
   • http://proxy4u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
   • http://usproxy2u.ws:8080/**********
撰写本文时,此文件并未联机作深入调查。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "HostSrv" = "%WINDIR%\sachostx.exe"



它会创建以下项,以便绕过 Windows XP 防火墙:

– HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List
   • "%恶意软件执行目录%\%执行的文件% "="%恶意软件执行目录%\ %执行的文件% :*:Enabled:enable"
   • "%SYSDIR%\sachostw.exe"="%SYSDIR%\sachostw.exe:*:Enabled:enable"
   • "%SYSDIR%\sachostc.exe"="%SYSDIR%\sachostc.exe:*:Enabled:enable"
   • "%SYSDIR%\sachosts.exe"="%SYSDIR%\sachosts.exe:*:Enabled:enable"

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


主题:
以下内容:
   • Your mail Account is Suspended



正文:
电子邮件的正文如下所示:

   • We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.


附件:
附件的文件名是以下某个名称:
   • acc_info9.exe
   • ebay_info.exe
   • acc_inf19.exe

该附件是恶意软件本身的副本。

 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • htm

 后门程序 会打开以下端口:

– %SYSDIR%\sachosts.exe 在随机 TCP 端口上 以便提供 HTTP 服务器。
– %SYSDIR%\sachostc.exe 在随机 TCP 端口上 以便提供代理服务器。


访问服务器:
以下内容:
   • http://proxy4u.ws/index.php?

因此它可能会发送某些信息。

发送有关以下内容的信息:
    • IP 地址
    • 恶意软件当前状态
    • 开放的端口

 注入进程 –  它会将以下文件注入到进程中: %SYSDIR%\msvcrl.dll

    进程名:
   • %正在运行的所有进程%


 文件详细信息 运行时压缩程序:
为了提高检测难度以及减小文件,它已使用以下运行时压缩程序进行压缩:
   • UPX

Açıklamayı yerleştiren Irina Boldea tarihinde 4 Nisan 2006 Salı
Açıklamayı güncelleyen: Irina Boldea tarihinde 20 Nisan 2006 Perşembe

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.