Nume:Worm/Eyeveg.K
Descoperit pe data de:06/09/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:58.880 Bytes
MD5:0c727229149436faa464059e9271ecfa
Versiune VDF:6.31.1.226
Euristica:Heuristic/Backdoor.Generic

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: W32/Eyeveg.worm.gen
   •  Kaspersky: Worm.Win32.Eyeveg.k
   •  TrendMicro: WORM_WURMARK.O
   •  F-Secure: UNKNOWN VIRUS
   •  VirusBuster: Worm.Eyeveg.G1
   •  Eset: Win32/Eyeveg.P


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efecte secundare:
   • Inregistreaza intrarile de la tastatura
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%combinatie de caractere aleatoare%.exe



Scrie pe disc o copie a lui alegand numele fisierului dintr-o lista:
– Catre: %SYSDIR%\ Folosind unul din urmatoarele nume:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Arhiva contine o copie a malware-ului.



Sunt create fisierele:

– Fisiere temporare care pot fi sterse dupa aceea:
   • %TEMPDIR%\%combinatie de caractere aleatoare%.tmp
   • %TEMPDIR%\%combinatie de caractere aleatoare%.tmp

– %SYSDIR%\%combinatie de caractere aleatoare%.dll
– %SYSDIR%\%combinatie de caractere aleatoare%.dll Acest fisier stocheaza datele introduse de utilizator la tastatura.



Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • www.melanie**********.biz/cb
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%combinatie de caractere aleatoare%"="%combinatie de caractere aleatoare%.exe"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Unul din urmatoarele:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme



Corpul email-ului:
– Corpul email-ului este gol.

 


Atasament:
Numele fisierului atasat este unul din urmatoarele:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Atasamentul este o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

 Backdoor Servere contactate:

   • www.melanie**********.biz/n2.php

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face prin metoda HTTP POST, folosind un script PHP.
Raspunsul serverului este scris in fisierul: %HOME%\Local Settings\Temp \%random characters%.tmp


Trimte informatii despre:
    • Parole retinute
    • Informatii despre retea
    • Utilizator
    • Activitatea utilizatorilor locali
    • Directorul Windows
    • Informatii despre sistemul de operare


Posibilitati de control la distanta:
    • descarcare fisier
    • executarea unui fisier
    • terminare proces
    • trimitere email-uri
    • Face upload la un fisier

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Parole stocate, folosite de functia AutoComplete
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parola din programul:
   • OutlookExpress

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descrizione inserita da Irina Boldea su martedì 6 settembre 2005
Descrizione aggiornata da Irina Boldea su mercoledì 14 settembre 2005

Indietro . . . .