Looksky
Loosky je virus koji se širi e-poštom. Kada je korisnikovo računalo zaraženo, Looksky sebe šalje e-poštom koristeći popis kontakata. Postoje verzije A, D i E.
Opis
Verzija A
Ova verzija Lookskya kopira kao datoteke %Windir%\sachostx.exe i %CurrentFolder%\temp.bak te dodaje sljedeće datoteke:
Verzija D
Verzija E
Kopira se kao %Windir%\sachostx.exe i %CurrentFolder%\temp.bak te dodaje sljedeće datoteke:
- %System%\attrib.ini
- %System%\hard.lck
- %System%\msvcrl.dll
- %System%\sachostb.exe
- %System%\sachostc.exe
- %System%\sachostp.exe
- %System%\sachosts.exe
- %System%\sachostw.exe
U Windows Registryu registarskom podključu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
dodaje vrijednost "HostSrv" = "%Windir%\sachostx.exe..."
kako bi se ova verzija Lookskya mogla pokretati tijekom sljedećih podizanja sustava. Zatim pokreće netsh.exe kako bi zaobišla zaštitu vatrozida (firewall) za određene datoteke.
Dodaje "%System%\sachostw.exe" = "%System%\sachostw.exe:*:Enabled:enable"
, "%System%\sachostc.exe" = "%System%\sachostc.exe:*:Enabled:enable"
,"%System%\sachostb.exe" = "%System%\sachostb.exe:*:Enabled:enable"
, "%System%\sachosts.exe" = "%System%\sachosts.exe:*:Enabled:enable"
, "%System%\sachostp.exe" = "%System%\sachostp.exe:*:Enabled:enable"
, "%System%\sachostx.exe" = "%System%\sachostx.exe:*:Enabled:enable"
u podključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications\List
za modifikaciju postavki za vatrozid