Looksky

LOOKSKY gusano/troyano/backdoor con "ingeniería social" deshabilita firewall roba información, etc.

W32/Looksky@mm

Looksky es un destructivo gusano/troyano/backdoor reportado el 25 de Octubre del 2005 de propagación masiva a través de un mensaje de Correo, que emplea la Ingeniería Social, ya que intenta engañar a los receptores simulando contener un archivo que perimitiría realizar llamadas gratuitas por el servicio de VoIP, Skype.

Libera archivos inócuos así como un troyano y un backdoor. Captura teclas digitadas, roba nombres de usuarios y contraseñas de correo.

Deshabilita cualquier firewall que estuviese instalado en el sistema infectado e intenta actualizarse cada 10 minutos desde una dirección URL.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++, con una extensión de 22.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a la Libreta de Direcciones de Windows (WAB), el cTmail, sistema de correo basado en la web o las contenidas en los archivos HTM.

El mensaje tiene la siguiente característica:

Remitente, las extraídas del sistema.

Asunto: Skylook for Skype

Contenido:

Hello, You asked me to send you Skylook - here it is:

With Skylook, you can get 1 hour of world-wide calls FREE!

Skype? Voice Calls (as MP3), Instant Messages, Email, Appointments, Contacts all organized and under control in Microsoft? Outlook?!

Halloween Special!

Try it before October 31 and receive 1 hour of free world-wide calls (SkypeOut). Also You`ll get 40% off a business license or 30% off a home license.

Use Skylook 1.0 to record Skype? VoIP Calls to MP3!

Skylook attache

Anexado: skylook_1.exe

Al ser ejecutado se copia a las siguientes rutas y con los nombres:

%System%\ATTRIB.INI (archivo donde almacena las teclas digitadas y la información extraída)
%System%\HARD.LCK (archivo con cero bytes y que no contiene ningun código)
%System%\MSVCRL.DLL (un componente DLL usado para capturar teclas digitadas)
%System%\SACHOSTB.EXE (Backdoor residente en memoria que recibe comandos en forma remota)
%System%\SACHOSTC.EXE (servidor Proxy que puede ser usado como cualquier programa normal)
%System%\SACHOSTP.EXE (Troyano que roba nombres y contraseñas de cuentas de correo)
%System%\SACHOSTS.EXE (servidor Proxy que puede ser usado como cualquier programa normal)
%System%\SACHOSTW.EXE (componente de correo)
%Windows%\SACHOSTX.EXE (copia del gusano)

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HostSrv" = "%Windir%\sachostx.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del sistema, el gusano activa su rutina de envío masivo de mensajes, deshabilita la configuración del firewall si lo hubiere, con el siguiente comando:

netsh firewall set allowed program [ruta_del_gusano] enable

luego activa su Keylogger y captura las teclas digitadas así como los nombres de usuarios y contraseñas de correo.

Cada diez minutos el gusano intenta actualizarse desde una dirección URL cifrada (actualmente inhabilidata).

PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 25 de Octubre del 2005 detecta y elimina este gusano/backdoor.