Worm/Eyeveg.K - Worm

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	Worm/Eyeveg.K
Scoperto:	06/09/2005
Tipo:	Worm
In circolazione (ITW):	No
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	Si
Dimensione del file:	58.880 Byte
Somma di controllo MD5:	0c727229149436faa464059e9271ecfa
Versione VDF:	6.31.1.226
Euristico:	Heuristic/Backdoor.Generic

Generale Metodo di propagazione:
   • Email

Alias:
   • Mcafee: W32/Eyeveg.worm.gen
   • Kaspersky: Worm.Win32.Eyeveg.k
   • TrendMicro: WORM_WURMARK.O
   • F-Secure: UNKNOWN VIRUS
   • VirusBuster: Worm.Eyeveg.G1
   • Eset: Win32/Eyeveg.P

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Effetti secondari:
   • Registra le battute di tastiera
   • Modifica del registro
   • Sottrae informazioni

File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa di caratteri casuale%.exe

Fa una copia di se stesso utilizzando un nome file dalla lista:
– A: %SYSDIR%\ Utilizzando uno dei seguenti nomi:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

L'archivio contiene una copia del malware stesso.

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %TEMPDIR%\%stringa di caratteri casuale%.tmp
   • %TEMPDIR%\%stringa di caratteri casuale%.tmp

– %SYSDIR%\%stringa di caratteri casuale%.dll
– %SYSDIR%\%stringa di caratteri casuale%.dll Questo file contiene le battute di tastiera recuperate.

Prova a scaricare un file:

– La posizione è la seguente:
   • www.melanie**********.biz/cb
Al momento dell'analisi questo file non era più disponibile.

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "%stringa di caratteri casuale%"="%stringa di caratteri casuale%.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:

Da:
L’indirizzo del mittente è l'account Outlook dell'utente.

A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)

Oggetto:
Uno dei seguenti:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme

Corpo dell'email:
– Il corpo dell'email è vuoto.

File allegato:
Il nome del file allegato è uno dei seguenti:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

L'allegato è una copia del malware stesso.

L’email si presenta come di seguito:

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

Backdoor Contatta il server:
Il seguente:
   • www.melanie**********.biz/n2.php

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.
La risposta dei server è scritta nel file: %TEMPDIR% \%random characters%.tmp

Invia informazioni riguardanti:
    • Password memorizzate nella cache
    • Informazioni sulla rete
    • Nome Utente
    • Attività locale dell'utente
    • Directory di Windows
    • Informazioni sul sistema operativo Windows

Capacità di controllo remoto:
    • Download di file
    • Eseguire file
    • Terminare il processo
    • Inviare email
    • Carica un file

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– La password dal seguente programma:
• OutlookExpress

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Irina Boldea il Tue, 06 Sep 2005 09:21 (GMT+1)
Descrizione aggiornata da Irina Boldea il Wed, 14 Sep 2005 10:48 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back