Looksky.B

LOOKSKY.B gusano/backdoor de "ingeniería social" deshabilita firewall roba información de tarjetas de crédito, etc.

W32/Looksky.B@mm

Looksky.B variante del Looksky es un destructivo gusano/troyano/backdoor reportado el 08 de Noviembre del 2005 de propagación masiva a través de un mensaje de Correo, que emplea la Ingeniería Social, ya que intenta engañar a los receptores simulando contener un archivo que perimitiría realizar llamadas gratuitas por el servicio de VoIP, Skype.

Contiene rutinas y accionar que lo califican como un archivo espía. Captura teclas digitadas, información de tarjetas de crédito y bancaria, roba nombres de usuarios y contraseñas de correo.

Libera archivos inócuos así como un troyano y un backdoor. Actúa como un Proxy que re-direcciona información a través del sistema infectado.

Deshabilita cualquier firewall que estuviese instalado en el sistema infectado.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado en Visual C++, con una extensión de 23 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a la Libreta de Direcciones de Windows (WAB), el cTmail, sistema de correo basado en la web o las contenidas en los archivos HTM.

El mensaje tiene la siguiente característica:

Remitente, las extraídas del sistema.

Asunto: Skylook for Skype

Contenido:

Hello, You asked me to send you Skylook - here it is:
With Skylook, you can get 1 hour of world-wide calls FREE!
Skype Voice Calls (as MP3), Instant Messages, Email, Appointments, Contacts all organized and under control in Microsoft Outlook!
Halloween Special!
Try it before October 31 and receive 1 hour of free world-wide calls (SkypeOut). Also You`ll get 40% off a business license or 30% off a home license.
Use Skylook 1.0 to record Skype VoIP Calls to MP3!
Skylook attache

Anexado: skylook_1.exe

Al ser ejecutado se copia al sirectorio %Windir% como sachostx.exe y libera los siguientes archivos en las rutas:

%System%\attrib.ini (archivo donde almacena las teclas digitadas y la información extraída)
%System%\hard.lck (archivo con cero bytes y que no contiene ningun código)
%System%\msvcrl.dll (un componente DLL que captura teclas digitadas e información del HOST)
%System%\sachostb.exe (Troyano/Backdoor residente en memoria que recibe comandos en forma remota)
%System%\sachostc.exe (componente TCP que redirecciona los accesos a Internet)
%System%\sachostm.exe (componente de envío de mensajes de correo)
%System%\sachostp.exe (componente que roba nombres y contraseñas)
%System%\sachosts.exe (servidor Proxy que puede ser usado como cualquier programa normal)
%System%\sachostw.exe (servidor SMTP de correo)
%Temp%\temp.bak (copia temporal de resplado del gusano)

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HostSrv" = "%Windir%\sachostx.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del sistema, el gusano activa su rutina de envío masivo de mensajes.

luego deshabilita la configuración del firewall si lo hubiere, con el siguiente comando:

netsh firewall set allowed program [ruta_del_gusano] enable

NOTA: el comando Netsh es un script utilitario que permite ya sea en forma local o remota se pueda mostrar o modificar la configuración de una computadora dentro de la red.

El gusno activa su Keylogger para capturar teclas digitadas así como los nombres de usuarios, contraseñas de correo e información del tarjetas de crédito y determinados bancos, que almacena en el archivo attrib.ini, la misma que será enviada periódicamente a la dirección de correo vasya@mail.ru

el gusano actúa como un Proxy que re-direcciona información a través del sistema infectado.

Actuando como Backdoor envía información extraída del sistema a un usuario remoto vía un puerto TCP que se encuentre abierto, a través del cual podrá realizar entre otras, las siguientes acciones:

conectarse un sitio web cifrado.
descargar y ejecutar archivos con códigos malignos.
modificar archivos.
extraer la información
actualizar archivos en una carpeta temporar \tmx*.*

PER ANTIVIRUS® versión 9.5 con registro de virus al 08 de Noviembre del 2005 detecta y elimina este gusano/backdoor.