VírusWorm/Eyeveg.K
Data em que surgiu:06/09/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:58.880 Bytes
MD5 checksum:0c727229149436faa464059e9271ecfa
Versão VDF:6.31.1.226
Heurístico:Heuristic/Backdoor.Generic

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: W32/Eyeveg.worm.gen
   •  Kaspersky: Worm.Win32.Eyeveg.k
   •  TrendMicro: WORM_WURMARK.O
   •  F-Secure: UNKNOWN VIRUS
   •  VirusBuster: Worm.Eyeveg.G1
   •  Eset: Win32/Eyeveg.P


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Guarda as teclas digitadas
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\%uma série de caracteres aleatórios%.exe



Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para: %SYSDIR%\ Usando um dos nomes seguintes:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

O ficheiro contém uma cópia do próprio malware.



São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %TEMPDIR%\%uma série de caracteres aleatórios%.tmp
   • %TEMPDIR%\%uma série de caracteres aleatórios%.tmp

%SYSDIR%\%uma série de caracteres aleatórios%.dll
%SYSDIR%\%uma série de caracteres aleatórios%.dll O ficheiro contém informação das teclas pressionadas.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • www.melanie**********.biz/cb
Ainda em fase de pesquisa.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%uma série de caracteres aleatórios%"="%uma série de caracteres aleatórios%.exe"

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é a conta do utilizador do Outlook.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme



Corpo:
– O corpo não tem texto.




Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

O ficheiro de atalho é uma cópia do malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

 Backdoor Contacta o servidor:
Seguinte:
   • www.melanie**********.biz/n2.php

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP POST através de scripts PHP.
A resposta do servidors é escrita no ficheiro: %HOME%\Local Settings\Temp \%random characters%.tmp


Envia informação sobre:
    • Palavras-chave armazenadas
    • Informações sobre a rede
    • Nome de utilizador
    • Actividade do utilizador
    • Directório do Windows
    • Informação sobre o sistema operativo Windows


Capacidades de controlo remoto:
    • Download de ficheiros
    • Executa o ficheiro
    • Termina processos
    • Envia emails
    • Upload de ficheiros

 Roubos de informação Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– A palavra-chave do seguinte programa:
   • OutlookExpress

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Irina Boldea em terça-feira, 6 de setembro de 2005
Descrição atualizada por Irina Boldea em quarta-feira, 14 de setembro de 2005

Voltar . . . .