Имя:Worm/Eyeveg.K
Обнаружен:06/09/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:58.880 байт.
Контрольная сумма MD5:0c727229149436faa464059e9271ecfa
Версия VDF:6.31.1.226
Эвристика:Heuristic/Backdoor.Generic

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Mcafee: W32/Eyeveg.worm.gen
   •  Kaspersky: Worm.Win32.Eyeveg.k
   •  TrendMicro: WORM_WURMARK.O
   •  F-Secure: UNKNOWN VIRUS
   •  VirusBuster: Worm.Eyeveg.G1
   •  Eset: Win32/Eyeveg.P


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Последствия:
   • Отслеживается и записывает введенные с клавиатуры символы
   • Изменение реестра
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная буквенная комбинация%.exe



Создает собственную копию с именем файла из списка
– Кому: %SYSDIR%\ С одним из следующих имен:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Архив содержит копию потенциально опасной программы.



Создаются следующие файлы:

– Файлы предназначены для временного использования и могут быть удалены.
   • %TEMPDIR%\%случайная буквенная комбинация%.tmp
   • %TEMPDIR%\%случайная буквенная комбинация%.tmp

%SYSDIR%\%случайная буквенная комбинация%.dll
%SYSDIR%\%случайная буквенная комбинация%.dll Файл содержит строки введенных с клавиатуры символов



Попытка загрузки следующего файла:

– Следующий URL:
   • www.melanie**********.biz/cb
На момент проверки данный файл не был доступен.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "%случайная буквенная комбинация%"="%случайная буквенная комбинация%.exe"

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя - учетная запись пользователя Outlook


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Одно из следующих:
   • screensaver
   • song
   • music
   • video
   • photo
   • girls
   • pic
   • message
   • image
   • news
   • details
   • resume
   • love
   • readme



Тело:
– Пустой текст письма.


Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
   • screensaver.zip
   • song.zip
   • music.zip
   • video.zip
   • photo.zip
   • girls.zip
   • pic.zip
   • message.zip
   • image.zip
   • news.zip
   • details.zip
   • resume.zip
   • love.zip
   • readme.zip

Прикрепленный файл является копией вредоносной программы:



Письмо выглядит следующим образом:


 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .ASP
   • .DBX
   • .EML
   • .HTM
   • .MBX
   • .SHT
   • .TBB


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
      pandasoft; postmaster; recipients; report; root; sophos; spam;
      symantec; trendmicro; virus; webmaster

 Backdoor Устанавливает соединение с сервером
Следующий:
   • www.melanie**********.biz/n2.php

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением PHP скриптов.
Ответ сервера записывается в следующий файл: %HOME%\Local Settings\Temp \%random characters%.tmp


Передает информацию о:
    • Кэшированные пароли
    • Информация о сети
    • Имя пользователя
    • Локальная активность пользователя
    • папка Windows
    • Информация об операционной системе Windows


Возможности удаленного контроля:
    • Загрузить файл
    • Запустить файл
    • Остановить процесс
    • Отправить электронную почту
    • Загрузить файл

 Кража Попытка кражи следующей информации:
– Используемые функцией AutoComplete пароли
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Пароль программы:
   • OutlookExpress

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Irina Boldea в(о) вторник, 6 сентября 2005 г.
Описание обновил Irina Boldea в(о) среда, 14 сентября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.