Email-Worm.Win32.Locksky.k

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Имеет размер 30373 байта.

Инсталляция

После запуска червь копирует себя в корневой каталог Windows с именем "sachostx.exe":

 %Windir%\sachostx.exe
 

Также червь копирует себя в папку, в которой он находится с именем temp.bak:

 %<оригинальная папка червя>\temp.bak
 

После чего червь регистрирует себя в ключе автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "HostSrv"="%Windir%\sachostx.exe"
 

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь создает в системном каталоге Windows следующие файлы:

 %System%\attrib.ini
 %System%\hard.lck
 %System%\msvcrl.dll
 %System%\sachostp.exe
 %System%\sachostw.exe
 

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

Your mail Account is Suspended

Текст письма:

We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.

Имя файла-вложения:

 
 acc_info1.exe

Прочее

Locksky.k имеет функцию сбора различной конфеденциальной информации с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Собранная информация загружается на удаленный сайт злоумышленника. Также с этого сайта червь без ведома пользователя может скачивать свои обновления.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.