Nombre:Worm/Eyeveg.K
Descubierto:06/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:58.880 Bytes
Suma de control MD5:0c727229149436faa464059e9271ecfa
Versión del VDF:6.31.1.226
Eurístico:Heuristic/Backdoor.Generic

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: W32/Eyeveg.worm.gen
   •  Kaspersky: Worm.Win32.Eyeveg.k
   •  TrendMicro: WORM_WURMARK.O
   •  F-Secure: UNKNOWN VIRUS
   •  VirusBuster: Worm.Eyeveg.G1
   •  Eset: Win32/Eyeveg.P


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe



Suelta una copia suya en el sistema, escogiendo el nombre del fichero de un listado:
– Para: %SYSDIR%\ Empleando uno de los siguientes nombres:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

El archivo contiene una copia del programa malicioso.



Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMPDIR%\%serie de caracteres aleatorios%.tmp
   • %TEMPDIR%\%serie de caracteres aleatorios%.tmp

%SYSDIR%\%serie de caracteres aleatorios%.dll
%SYSDIR%\%serie de caracteres aleatorios%.dll En este fichero se registran las pulsaciones de teclado.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • www.melanie**********.biz/cb
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%serie de caracteres aleatorios%"="%serie de caracteres aleatorios%.exe"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
Uno de los siguientes:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme



El cuerpo del mensaje:
– El cuerpo del mensaje de correo está vacío.


Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

El archivo adjunto es una copia del propio programa malicioso.



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • www.melanie**********.biz/n2.php

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP POST, empleando un script PHP.
La respuesta del servidor queda escrita en el fichero: %HOME%\Local Settings\Temp \%random characters%.tmp


Envía informaciones acerca de:
    • Contraseñas guardadas
    • Informaciones acerca de la red
    • Nombre de usuario
    • Actividad local de los usuarios
    • Carpeta Windows
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero
    • Terminar proceso
    • Enviar mensajes de correo
    • Cargar fichero en Internet

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– La contraseña del programa:
   • OutlookExpress

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes 6 de septiembre de 2005
Descripción actualizada por Irina Boldea el miércoles 14 de septiembre de 2005

Volver . . . .