Looksky

Loosky je virus koji se širi e-poštom. Kada je korisnikovo računalo zaraženo, Looksky sebe šalje e-poštom koristeći popis kontakata. Postoje verzije A, D i E.

Opis

Verzija A

Ova verzija Lookskya kopira kao datoteke %Windir%\sachostx.exe i %CurrentFolder%\temp.bak te dodaje sljedeće datoteke:

Verzija D

Verzija E

Kopira se kao %Windir%\sachostx.exe i %CurrentFolder%\temp.bak te dodaje sljedeće datoteke:

%System%\attrib.ini
%System%\hard.lck
%System%\msvcrl.dll
%System%\sachostb.exe
%System%\sachostc.exe
%System%\sachostp.exe
%System%\sachosts.exe
%System%\sachostw.exe

U Windows Registryu registarskom podključu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dodaje vrijednost "HostSrv" = "%Windir%\sachostx.exe..." kako bi se ova verzija Lookskya mogla pokretati tijekom sljedećih podizanja sustava. Zatim pokreće netsh.exe kako bi zaobišla zaštitu vatrozida (firewall) za određene datoteke.

Dodaje "%System%\sachostw.exe" = "%System%\sachostw.exe:*:Enabled:enable", "%System%\sachostc.exe" = "%System%\sachostc.exe:*:Enabled:enable","%System%\sachostb.exe" = "%System%\sachostb.exe:*:Enabled:enable", "%System%\sachosts.exe" = "%System%\sachosts.exe:*:Enabled:enable", "%System%\sachostp.exe" = "%System%\sachostp.exe:*:Enabled:enable", "%System%\sachostx.exe" = "%System%\sachostx.exe:*:Enabled:enable" u podključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy \StandardProfile\AuthorizedApplications\List za modifikaciju postavki za vatrozid