English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Eyeveg.K
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Eyeveg.K - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/Eyeveg.K
Data em que surgiu:
06/09/2005
Tipo:
Worm
Incluído na lista "In The Wild"
Não
Nível de danos:
Baixo
Nível de distribuição:
Médio
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
58.880 Bytes
MD5 checksum:
0c727229149436faa464059e9271ecfa
Versão VDF:
6.31.1.226
Heurístico:
Heuristic/Backdoor.Generic
Vulgarmente
Meio de transmissão:
• E-mail
Alias:
• Mcafee: W32/Eyeveg.worm.gen
• Kaspersky: Worm.Win32.Eyeveg.k
• TrendMicro: WORM_WURMARK.O
• F-Secure: UNKNOWN VIRUS
• VirusBuster: Worm.Eyeveg.G1
• Eset: Win32/Eyeveg.P
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Efeitos secundários:
• Guarda as teclas digitadas
• Altera o registo do Windows
• Informação de roubos
Ficheiros
Autocopia-se para a seguinte localização:
•
%SYSDIR%
\
%uma série de caracteres aleatórios%
.exe
Envia uma cópia de si mesmo usando um nome seguinte lista:
– Para:
%SYSDIR%
\ Usando um dos nomes seguintes:
• screensaver.zip
• song.zip
• music.zip
• video.zip
• photo.zip
• girls.zip
• pic.zip
• message.zip
• image.zip
• news.zip
• details.zip
• resume.zip
• love.zip
• readme.zip
O ficheiro contém uma cópia do próprio malware.
São criados os seguintes ficheiros:
– Ficheiros temporários que poderam ser apagados mais tarde:
•
%TEMPDIR%
\
%uma série de caracteres aleatórios%
.tmp
•
%TEMPDIR%
\
%uma série de caracteres aleatórios%
.tmp
–
%SYSDIR%
\
%uma série de caracteres aleatórios%
.dll
–
%SYSDIR%
\
%uma série de caracteres aleatórios%
.dll O ficheiro contém informação das teclas pressionadas.
Tenta efectuar o download do ficheiro:
– A partir da seguinte localização:
• www.melanie**********.biz/cb
Ainda em fase de pesquisa.
Registry (Registo do Windows)
É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "
%uma série de caracteres aleatórios%
"="
%uma série de caracteres aleatórios%
.exe"
E-mail
Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
De:
O endereço do remetente é a conta do utilizador do Outlook.
Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
Assunto:
Um dos seguintes:
• screensaver
• song
• music
• video
• photo
• girls
• pic
• message
• image
• news
• details
• resume
• love
• readme
Corpo:
– O corpo não tem texto.
Â
Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
• screensaver.zip
• song.zip
• music.zip
• video.zip
• photo.zip
• girls.zip
• pic.zip
• message.zip
• image.zip
• news.zip
• details.zip
• resume.zip
• love.zip
• readme.zip
O ficheiro de atalho é uma cópia do malware.
O email pode ser parecido com o seguinte:
Mailing
Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
• .ASP
• .DBX
• .EML
• .HTM
• .MBX
• .SHT
• .TBB
Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
• abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
pandasoft; postmaster; recipients; report; root; sophos; spam;
symantec; trendmicro; virus; webmaster
Backdoor
Contacta o servidor:
Seguinte:
• www.melanie**********.biz/n2.php
Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP POST através de scripts PHP.
A resposta do servidors é escrita no ficheiro:
%TEMPDIR%
\%random characters%.tmp
Envia informação sobre:
• Palavras-chave armazenadas
• Informações sobre a rede
• Nome de utilizador
• Actividade do utilizador
• Directório do Windows
• Informação sobre o sistema operativo Windows
Capacidades de controlo remoto:
• Download de ficheiros
• Executa o ficheiro
• Termina processos
• Envia emails
• Upload de ficheiros
Roubos de informação
Tenta roubar a seguinte informação:
– Palavras-chave guardadas e que são usadas pela função AutoComplete
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts
– A palavra-chave do seguinte programa:
• OutlookExpress
Detalhes do ficheiro
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX
Veja
aqui
uma breve descrição.
Descrição adicionada por Irina Boldea em Tue, 06 Sep 2005 09:21 (GMT+1)
Descrição adicionada por Irina Boldea em Wed, 14 Sep 2005 10:48 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Eyeveg.K
Print this page
.gif)
