Nom:Worm/Eyeveg.K
La date de la découverte:06/09/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:58.880 Octets
Somme de contrôle MD5:0c727229149436faa464059e9271ecfa
Version VDF:6.31.1.226
L'heuristique:Heuristic/Backdoor.Generic

 Général Méthode de propagation:
   • Email


Les alias:
   •  Mcafee: W32/Eyeveg.worm.gen
   •  Kaspersky: Worm.Win32.Eyeveg.k
   •  TrendMicro: WORM_WURMARK.O
   •  F-Secure: UNKNOWN VIRUS
   •  VirusBuster: Worm.Eyeveg.G1
   •  Eset: Win32/Eyeveg.P


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il enregistre les frappes de touche
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chaîne de caractères aléatoire%.exe



Il crée sa propre copie en employant un nom de fichier d'une liste:
– A: %SYSDIR%\ employant un des noms suivants:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Le fichier compressé contient une copie du malware



Les fichiers suivants sont créés:

– Des fichiers qui peuvent être supprimés après:
   • %TEMPDIR%\%chaîne de caractères aléatoire%.tmp
   • %TEMPDIR%\%chaîne de caractères aléatoire%.tmp

%SYSDIR%\%chaîne de caractères aléatoire%.dll
%SYSDIR%\%chaîne de caractères aléatoire%.dll Ce fichier contient des frappes de touche collectés.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www.melanie**********.biz/cb
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%chaîne de caractères aléatoire%"="%chaîne de caractères aléatoire%.exe"

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est le compte Outlook de l'utilisateur.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme



Corps:
– Le corps est vide.

 


Pièce jointe:
Le nom de fichier de l'attachement est un des suivants:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

L'attachement est une copie du malware lui-même.



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

 Porte dérobée Serveur de contact:
Le suivant:
   • www.melanie**********.biz/n2.php

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.
Le réponse du serveur est écrit dans le fichier: %HOME%\Local Settings\Temp \%random characters%.tmp


Il envoie de l'information au sujet de:
    • Les mots de passe en antémémoire:
    • Information sur le réseau
    • Nom d'utilisateur
    • L'activité local des utilisateurs
    • Répertoire de Windows
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Télécharger un fichier
    • Exécuter un fichier
    • Finir le processus
    • Envoyer des e-mails
    • Charger un fichier

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe employés par la fonction AutoComplete
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le mot de passe du programme suivant:
   • OutlookExpress

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Irina Boldea le mardi 6 septembre 2005
Description mise à jour par Irina Boldea le mercredi 14 septembre 2005

Retour . . . .