Worm.Win32.Eyeveg.m

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма.

Worm.Win32.Eyeveg.m («Лаборатория Касперского») также известен как: W32/Eyeveg.worm.gen (McAfee), Win32.HLLW.Eyeveg.5 (Doctor Web), W32/Eyeveg-K (Sophos), Worm/Eyeveg.m.1 (H+BEDV), W32/Eyeveg.N.worm (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится архивированная копия червя.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в упакованом виде — 79872 байта, размер в распакованном виде — примерно 553472 байта.

Инсталляция

После запуска червь копирует себя с произвольным именем в системный каталог Windows.

Например:


%System%\VQLOQV.EXE

Затем регистрирует себя в ключе автозапуска системного реестра:


[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "vqloqv"="vqloqv.exe"

Также в системном каталоге Windows червь создает dll-файл с произвольным именем. Например:

%System%\clsmlcsv.dll

Данный файл детектируется Антивирусом Касперского как Trojan-Spy.Win32.Iespy.g.

Распространение через email

Для поиска адресов жертв червь сканирует файлы с расширениями из нижеприведенного списка и рассылает себя по всем найденным в них адресам электронной почты.


.ASP
.DBX
.EML
.HTM
.MBX
.SHT
.TBB

Игнорируется отправка писем на адреса, содержащие следующие строки:


abuse
admin
alert
mcafee
messagelab
microsoft
noreply
pandasoft
postmaster
recipients
report
root
sophos
spam
symantec
trendmicro
virus
webmaster

Для отправки писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Зараженные письма рассылаются с различными заголовками. Текст письма содержит только ссылку на зараженный файл-архив в интернете. Имя архива соответствует теме письма.

Тема письма:

details
girls
image
love
message
music
news
photo
pic
readme
resume
screensaver
song
video

Текст письма:

Содержит только ссылку на зараженный ZIP-архив в интернете. Имя архива соответствует теме письма. ZIP-архив содержит копию червя с двойным расширением. Например:


love.jpg                               ...scr

Действие

Червь собирает нажатия клавиш, данные об общих папках (shares), пароли автосохранения Internet Explorer, пароли от электронной почты и др. конфиденциальные данные и отсылает их на адрес www.melan******oll.biz.