Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма
Червь представляет собой PE EXE-файл. Имеет размер 30373 байта.
Инсталляция
После запуска червь копирует себя в корневой каталог Windows с именем "sachostx.exe":
%Windir%\sachostx.exe
Также червь копирует себя в папку, в которой он находится с именем temp.bak:
%<оригинальная папка червя>\temp.bak
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "HostSrv"="%Windir%\sachostx.exe"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь создает в системном каталоге Windows следующие файлы:
%System%\attrib.ini %System%\hard.lck %System%\msvcrl.dll %System%\sachostp.exe %System%\sachostw.exe
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Your mail Account is Suspended
Текст письма:
We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
Имя файла-вложения:
acc_info1.exe
Прочее
Locksky.k имеет функцию сбора различной конфеденциальной информации с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Собранная информация загружается на удаленный сайт злоумышленника. Также с этого сайта червь без ведома пользователя может скачивать свои обновления.