Worm/Eyeveg.K - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Eyeveg.K
発見日：	06/09/2005
タイプ	ワーム
感染報告有り	いいえ
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	58.880 バイト
MD5　チェックサム	0c727229149436faa464059e9271ecfa
VDFファージョン：	6.31.1.226
ヒューリスティック：	Heuristic/Backdoor.Generic

一般情報 感染方法
   • Eメール

別名
   • McAfee(マカフィー) W32/Eyeveg.worm.gen
   • Kaspersky(カスペルスキー) Worm.Win32.Eyeveg.k
   • TrendMicro(トレンドマイクロ） WORM_WURMARK.O
   • F-Secure(エフ・セキュア) UNKNOWN VIRUS
   • ウイルスバスター Worm.Eyeveg.G1
   • Eset Win32/Eyeveg.P

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ 2000
   • ウインドウズ XP

副作用
   • 文字入力を記録します。
   • レジストリの改変。
   • 情報を盗みます。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\%ランダムな文字列%.exe

それ自身のコピーを、表の中のファイル名を使って作成します。
– 宛先: %SYSDIR%\ 以下の名前のうちのどれかを利用します：
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

アーカイブはそのマルウェアのコピーを含みます。

以下のファイルが作成されます：

– このファイルは一時的に使用されるタイプで、後で消去される可能性があります。
   • %TEMPDIR%\%ランダムな文字列%.tmp
   • %TEMPDIR%\%ランダムな文字列%.tmp

– %SYSDIR%\%ランダムな文字列%.dll
– %SYSDIR%\%ランダムな文字列%.dll このファイルは入力されたキーについて収集された情報を含みます。

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • www.melanie**********.biz/cb
これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "%ランダムな文字列%"="%ランダムな文字列%.exe"

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスはユーザーのアウトルックのアカウントです。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

件名
以下のもの：
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme

本文
– 本文は空欄です。

添付ファイル
添付ファイルの名前は：
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

添付ファイルは、マルウェア自身のコピーです。

メールは以下のようなものです：

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB

アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

バックドア サーバに接続します。
以下のうちのどれか１つ：
   • www.melanie**********.biz/n2.php

結果、いくつかの情報を送る可能性があり、リモート・コントロール機能が生まれるかもしれません。これはPHPスクリプトを使ったHTTP POSTのメソッドトを通して行われます。
サーバの回答がファイルに書き込まれます： %TEMPDIR% \%random characters%.tmp

以下についての情報を送ります：
    • キャッシュに入ったパスワード
    • ネットワークについての情報
    • ユーザーネーム
    • ユーザーのローカル活動
    • ウインドウズ・ディレクトリ
    • ウインドウズOSについての情報

リモート・コントロール機能
    • ダウンロード・ファイル
    • 実行ファイル
    • プロセスを強制終了する
    • メールを送る
    • ファイルをアップロードする

窃盗以下の情報を盗もうとします：
– オートコンプリート機能を利用して記録されたパスワード
– レジストリ・キーから取り出されたメール・アカウント情報：HKCUSoftwareMicrosoftInternet Account ManagerAccounts

– 以下のプログラムからのパスワード：
• OutlookExpress

ファイルの詳細 ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
• UPX

簡単な説明はココにあります。.

この説明は Irina Boldea によって Tue, 06 Sep 2005 09:21 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Wed, 14 Sep 2005 10:48 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back