Loosky je virus koji se širi e-poštom. Kada je korisnikovo računalo zaraženo, Looksky sebe šalje e-poštom koristeći popis kontakata. Postoje verzije A, D i E.
Verzija A
Ova verzija Lookskya kopira kao datoteke %Windir%\sachostx.exe i %CurrentFolder%\temp.bak te dodaje sljedeće datoteke:
Verzija D
Verzija E
Kopira se kao %Windir%\sachostx.exe i %CurrentFolder%\temp.bak te dodaje sljedeće datoteke:
- %System%\attrib.ini
- %System%\hard.lck
- %System%\msvcrl.dll
- %System%\sachostb.exe
- %System%\sachostc.exe
- %System%\sachostp.exe
- %System%\sachosts.exe
- %System%\sachostw.exe
U Windows Registryu registarskom podključu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dodaje vrijednost "HostSrv" = "%Windir%\sachostx.exe..." kako bi se ova verzija Lookskya mogla pokretati tijekom sljedećih podizanja sustava. Zatim pokreće netsh.exe kako bi zaobišla zaštitu vatrozida (firewall) za određene datoteke.
Dodaje "%System%\sachostw.exe" = "%System%\sachostw.exe:*:Enabled:enable", "%System%\sachostc.exe" = "%System%\sachostc.exe:*:Enabled:enable","%System%\sachostb.exe" = "%System%\sachostb.exe:*:Enabled:enable", "%System%\sachosts.exe" = "%System%\sachosts.exe:*:Enabled:enable", "%System%\sachostp.exe" = "%System%\sachostp.exe:*:Enabled:enable", "%System%\sachostx.exe" = "%System%\sachostx.exe:*:Enabled:enable" u podključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
\StandardProfile\AuthorizedApplications\List za modifikaciju postavki za vatrozid
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
