W32/Loosky-C

W32/Loosky-C – мультикомонентный email червь с функциями Трояна для windows платформ.

При первом запуске W32/Loosky-C копирует себя в файл <Windows>\sachostx.exe и создает следующие файлы:

<System>\attrib.ini - clean log file
<System>\hard.lck - clean zero-byte file
<System>\msvcrl.dll - stealthing component, also steals website information
<System>\sachostb.exe - backdoor Trojan component
<System>\sachostc.exe - tcp redirecting component
<System>\sachostm.exe - log-mailing component
<System>\sachostp.exe - password-stealing component
<System>\sachosts.exe - socks proxy component
<System>\sachostw.exe - main email worm component

Также создается следующий ключ реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HostSrv
<Windows>\sachostx.exe

W32/Loosky-C использует netsh чтобы обойти настройки Windows файрвалла.

W32/Loosky-C крадет пароли пользователей, информацию о посещении банковских сайтов и сохраняет их в файле attrib.ini.

W32/Loosky-C работает как прокси, перенаправляя информацию через зараженные компьютеры.

W32/Loosky-C содержит бекдор компоненты, которые могут послать информацию о зараженном компьютере удаленному пользователю, изменить и запустить файлы на зараженном компьютере.

W32/Loosky-C распостраняет свою копию по email адресам, собранным на зараженном компьютере со следующими характеристиками.

Заголовок:

Oh my god! Can't believe this

Тело сообщения:

Guess what happened!

I joined this amazing dat.ing portal and met 6 girls in my city in half a day!

I got laid 4 times this week, and now I don't know how to explain you but
there's no way I can handle all these chicks who love to have fun !

I never imagined there'd be so many hot/cool chicks in my area willing to
just meet up and have fun.

Buddy, I highly recommed this, log on, it's no charge! Get a cool nickname
and start dating.

This is the right time