Prawdopodobnie był to teraz popularny robaczek internetowy zwany Email-Worm.Win32.Locksky.k -rozprzestrzenia się za pośrednictwem poczty elektronicznej
Kopiuje się do folderu Windows jako plik: sachostx.exe
Umieszcza również swoją kopię w pliku: temp.bak w katalogu, w którym się stworzył.
Tworzy pliki:
[Windows\System32]\attrib.ini
[Windows\System32]\hard.lck
[Windows\System32]\msvcrl.dll
[Windows\System32]\sachostb.exe
[Windows\System32]\sachostc.exe
[Windows\System32]\sachostp.exe
[Windows\System32]\sachosts.exe
[Windows\System32]\sachostw.exe
1. Tworzy wpisy w rejestrze:
HostSrv = [Windows]\sachostx.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
pozwalając sobie na uruchamianie wraz z systemem operacyjnym.
2. Tworzy regułę na firewallu – co pozwala mu na bezproblemowe uruchamianie w systemie.
3. Pobiera informacje o hasłach i danych zapisanych na zainfekowanej maszynie, zapisując je w pliku: attrib.ini
4. Wysyła zapisane informacje zdalnemu napastnikowi.
(opis wzięty ze stronki w sieci tylko nie pamiętam gdzie)
W katalogu windowsa tworzy się również plik desktop.html,który zmienia tapetkę
Skasuj to wszystko może będzie lepiej
pozdrawiam
marek216
