English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Eyeveg.K
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Eyeveg.K - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Eyeveg.K
Обнаружен:
06/09/2005
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
58.880 байт.
Контрольная сумма MD5:
0c727229149436faa464059e9271ecfa
Версия VDF:
6.31.1.226
Эвристика:
Heuristic/Backdoor.Generic
Общее
Метод распространения:
• Email
Псевдонимы (аliases):
• Mcafee: W32/Eyeveg.worm.gen
• Kaspersky: Worm.Win32.Eyeveg.k
• TrendMicro: WORM_WURMARK.O
• F-Secure: UNKNOWN VIRUS
• VirusBuster: Worm.Eyeveg.G1
• Eset: Win32/Eyeveg.P
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows 2000
• Windows XP
Последствия:
• Отслеживается и записывает введенные с клавиатуры символы
• Изменение реестра
• Похищает информацию
Файлы
Создается собственная копия:
•
%SYSDIR%
\
%случайная буквенная комбинация%
.exe
Создает собственную копию с именем файла из списка
– Кому:
%SYSDIR%
\ С одним из следующих имен:
• screensaver.zip
• song.zip
• music.zip
• video.zip
• photo.zip
• girls.zip
• pic.zip
• message.zip
• image.zip
• news.zip
• details.zip
• resume.zip
• love.zip
• readme.zip
Архив содержит копию потенциально опасной программы.
Создаются следующие файлы:
– Файлы предназначены для временного использования и могут быть удалены.
•
%TEMPDIR%
\
%случайная буквенная комбинация%
.tmp
•
%TEMPDIR%
\
%случайная буквенная комбинация%
.tmp
–
%SYSDIR%
\
%случайная буквенная комбинация%
.dll
–
%SYSDIR%
\
%случайная буквенная комбинация%
.dll Файл содержит строки введенных с клавиатуры символов
Попытка загрузки следующего файла:
– Следующий URL:
• www.melanie**********.biz/cb
На момент проверки данный файл не был доступен.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• "
%случайная буквенная комбинация%
"="
%случайная буквенная комбинация%
.exe"
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя - учетная запись пользователя Outlook
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Тема:
Одно из следующих:
• screensaver
• song
• music
• video
• photo
• girls
• pic
• message
• image
• news
• details
• resume
• love
• readme
Тело:
– Пустой текст письма.
Прикрепленный файл:
Одно из следующих имен прикрепленного файла:
• screensaver.zip
• song.zip
• music.zip
• video.zip
• photo.zip
• girls.zip
• pic.zip
• message.zip
• image.zip
• news.zip
• details.zip
• resume.zip
• love.zip
• readme.zip
Прикрепленный файл является копией вредоносной программы:
Письмо выглядит следующим образом:
Отправка
Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
• .ASP
• .DBX
• .EML
• .HTM
• .MBX
• .SHT
• .TBB
Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
• abuse; admin; alert; localdomain; mcafee; messagelab; noreply;
pandasoft; postmaster; recipients; report; root; sophos; spam;
symantec; trendmicro; virus; webmaster
Backdoor
Устанавливает соединение с сервером
Следующий:
• www.melanie**********.biz/n2.php
В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Для этого служит метод HTTP POST с применением PHP скриптов.
Ответ сервера записывается в следующий файл:
%home%
\Local Settings\Temp \%random characters%.tmp
Передает информацию о:
• Кэшированные пароли
• Информация о сети
• Имя пользователя
• Локальная активность пользователя
• папка Windows
• Информация об операционной системе Windows
Возможности удаленного контроля:
• Загрузить файл
• Запустить файл
• Остановить процесс
• Отправить электронную почту
• Загрузить файл
Кража
Попытка кражи следующей информации:
– Используемые функцией AutoComplete пароли
– Информация об учетной записи электронной почты из реестра: HKCU\Software\Microsoft\Internet Account Manager\Accounts
– Пароль программы:
• OutlookExpress
Данные файла
Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX
Краткое описание см.
здесь
.
Описание добавлено: Irina Boldea Tue, 06 Sep 2005 09:21 (GMT+1)
Описание обновлено: Irina Boldea Wed, 14 Sep 2005 10:48 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
W32/Elkern.C
Worm/Mytob.AD
Worm/Mytob.AT
Worm/Bagle.FJ
TR/Drop.MuJoin.AF
PHISH/CrediCard
TR/Autorun.afj
BDS/Agent.qfh.1
TR/Dldr.FraudLoa.NC
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Eyeveg.K
Print this page
.gif)
