Название по номенклатуре: Email-worm.win32.locksky.k
Размер файла: 30373 байта
Инсталяция: Червь копирует себя в корневой каталог Windows с именем "sachostx.exe":
%Windir%\sachostx.exe
Также червь копирует себя в папку, в которой он находится с именем temp.bak:
%<оригинальная папка червя>\temp.bak
После чего червь регистрирует себя в ключе автозапуска системного реестра:
Также червь создает в системном каталоге Windows следующие файлы:
%System%\attrib.ini
%System%\hard.lck
%System%\msvcrl.dll
%System%\sachostp.exe
%System%\sachostw.exe
Распространение: Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Размер файла: 30373 байта
Инсталяция: Червь копирует себя в корневой каталог Windows с именем "sachostx.exe":
%Windir%\sachostx.exe
Также червь копирует себя в папку, в которой он находится с именем temp.bak:
%<оригинальная папка червя>\temp.bak
После чего червь регистрирует себя в ключе автозапуска системного реестра:
Код:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"HostSrv"="%Windir%\sachostx.exe"%System%\attrib.ini
%System%\hard.lck
%System%\msvcrl.dll
%System%\sachostp.exe
%System%\sachostw.exe
Распространение: Для поиска адресов жертв червь сканирует адресные книги MS Windows. При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Текст письма:
Имя файла-вложения:
Действие на систему: Locksky.k имеет функцию сбора различной конфеденциальной информации с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Собранная информация загружается на удаленный сайт злоумышленника. Также с этого сайта червь без ведома пользователя может скачивать свои обновления.