Looksky.D

LOOKSKY.D gusano/backdoor con "ingeniería social" roba información financiera cuentas de correo, etc.

W32/Looksky.D@mm

Looksky.D variante del Looksky es un destructivo gusano/troyano/backdoor residente en memoria reportado el 30 de Noviembre del 2005 de propagación masiva a través de un mensaje de Correo, que emplea la Ingeniería Social, intentando engañar a los receptores al ofrecer la aprobación de un crédito financiero en 24 horas.

Captura teclas digitadas, información de tarjetas de crédito y bancaria, roba nombres de usuarios y contraseñas de correo.

Libera archivos innocuos así como un troyano y un backdoor. Actúa como un Proxy que re-direcciona información a través del sistema infectado.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado en Visual C++, con una extensión de 27 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a la Libreta de Direcciones de Windows (WAB) o las de archivos HTM.

El mensaje tiene la siguiente característica:

Remitente:direcciones extraídas del sistema.
Asunto: Account # 394875948JNO Wed, 28'
Contenido:

Hello,

We sent you an email a while ago, because you now qualify for a much lower rate based on the biggest rate drop in years.
You can now get $756,000 for as little as $909 a month! Bad credit? Doesn't matter, ^low rates are fixed no matter what!
Follow this link to process your application and a 24 hour approval:

http://mainecomputergroup.com/

Best Regards,

Bernadine Guy

Anexado: main_23_c.exe

Al ser ejecutado se copia al directorio %Windir% como sachostx.exe y libera los siguientes archivos en las rutas:

%System%\attrib.ini (archivo que almacena teclas digitadas e información de correo extraídas)
%System%\hard.lck (archivo con cero bytes y que no contiene ningún código)
%System%\msvcrl.dll (componente DLL que captura teclas digitadas y a la vez es un troyano)
%System%\sachostb.exe (Backdoor residente en memoria que recibe comandos en forma remota)
%System%\sachostc.exe (servidor proxy usado como un programa normal)
%System%\sachostp.exe (componente usado como un programa normal)
%System%\sachosts.exe (servidor Proxy que puede ser usado como cualquier programa normal)
%System%\sachostw.exe (servidor SMTP de correo)
%Windows%\sachostx.exe (copia de sí mismo)

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HostSrv" = "%Windir%\sachostx.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del sistema, el gusano activa su rutina de envío masivo de mensajes.

el gusano actúa como un Proxy que re-direcciona información a través del sistema infectado.

Actuando como Backdoor envía información extraída del sistema a un usuario remoto vía puertos TCP que se encuentre abiertos a través de los que podrá realizar entre otras, las siguientes acciones:

descargar y ejecutar archivos con códigos malignos.
extraer información de teclas digitadas y cuentas de correo
actualizar archivos en un archivo temporal.

Finalmente se conecta a un sitio en la web intentado descargar una actualización de sí mismo (actualmente deshabilitada).

PER ANTIVIRUS® versión 9.5 con registro de virus al 30 de Noviembre del 2005 detecta y elimina este gusano/troyano/backdoor.