Autor Tema: Looksky.d (Leído 1209 veces)

RadicalEd · « **en:** Miércoles 30 de Noviembre de 2005, 19:14 »

Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:30-11-2005
Última Actualización:30-11-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Looksky.D@MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [MM] - Virus que envía masivamente mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.
Tamaño (bytes): 27886
Alias:WORM_LOOKSKY.D (Trend Micro), W32/Looksky.D@mm (PerAntivirus)

Cuando se ejecuta, se copia al sirectorio %Windir% como sachostx.exe y descarga los siguientes archivos:

%System%\attrib.ini (archivo que almacena teclas digitadas e información de correo extraídas)
%System%\hard.lck (archivo con cero bytes y que no contiene ningun código)
%System%\msvcrl.dll (componente DLL que captura teclas digitadas y a la vez es un troyano)
%System%\sachostb.exe (Backdoor residente en memoria que recibe comandos en forma remota)
%System%\sachostc.exe (servidor proxy usado como un programa normal)
%System%\sachostp.exe (componente usado como un programa normal)
%System%\sachosts.exe (servidor Proxy que puede ser usado como cualquier programa normal)
%System%\sachostw.exe (servidor SMTP de correo)
%Windows%\sachostx.exe (copia de sí mismo)
para ejecutarse la próxima vez que se re-inicie el sistema modifica la clave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HostSrv" = "%Windir%\sachostx.exe"

Notas:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Propagación

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a la Libreta de Direcciones de Windows (WAB) o las de archivos HTM.

El mensaje tiene las siguientes características:

Remitente:direcciones extraídas del sistema.
Asunto: Account # 394875948JNO Wed, 28'
Mensaje:

Hello,

We sent you an email a while ago, because you now qualify for a much lower rate based on the
biggest rate drop in years.
You can now get $756,000 for as little as $909 a month! Bad credit? Doesn't matter, ^low rates
are fixed no matter what!
Follow this link to process your application and a 24 hour approval:

http://mainecomputergroup.com/

Best Regards,

Bernadine Guy

Adjunto: main_23_c.exe

Al siguiente inicio del sistema, el gusano activa su rutina de envío masivo de mensajes.

También puede actuar como un Proxy que re-direcciona las peticiones de información a través del sistema infectado.

Actuando como Backdoor envía información extraída del sistema a un usuario remoto vía puertos TCP que se encuentre abiertos a través de los que podrá realizar entre otras, las siguientes acciones:

descargar y ejecutar archivos con códigos malignos.
extraer información de teclas digitadas y cuentas de correo
actualizar archivos en un archivo temporal.
Finalmente se conecta a un sitio en la web intentado descargar una actualización de sí mismo (actualmente deshabilitada).
Finalmente intenta actualizarse a sí mismo accediendo a cierto sitio web desde donde intenta descargar el fichero: http://proxy4u.{Bloqueado}ws:8080/download.exe para asegurarse de que todos los sistemas que hayan sido infectados ejecutarán siempre la última versión del gusano.

Nombres de Ficheros Adjuntos (virus que llegan por correo)
main_23_c.exe<

SoloCodigo

Autor Tema: Looksky.d (Leído 1209 veces)

RadicalEd

Looksky.d