Worm.Win32.Eyeveg.m

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма.

Worm.Win32.Eyeveg.m («Лаборатория Касперского») также известен как: W32/Eyeveg.worm.gen (McAfee), Win32.HLLW.Eyeveg.5 (Doctor Web), W32/Eyeveg-K (Sophos), Worm/Eyeveg.m.1 (H+BEDV), W32/Eyeveg.N.worm (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится архивированная копия червя.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в упакованом виде — 79872 байта, размер в распакованном виде — примерно 553472 байта.

Инсталляция

После запуска червь копирует себя с произвольным именем в системный каталог Windows.

Например:

 
 %System%\VQLOQV.EXE

Затем регистрирует себя в ключе автозапуска системного реестра:

 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
  "vqloqv"="vqloqv.exe"
 

Также в системном каталоге Windows червь создает dll-файл с произвольным именем. Например:

 %System%\clsmlcsv.dll

Данный файл детектируется Антивирусом Касперского как Trojan-Spy.Win32.Iespy.g.

Распространение через email

Для поиска адресов жертв червь сканирует файлы с расширениями из нижеприведенного списка и рассылает себя по всем найденным в них адресам электронной почты.

 
 .ASP
 .DBX
 .EML
 .HTM
 .MBX
 .SHT
 .TBB
 

Игнорируется отправка писем на адреса, содержащие следующие строки:

 
 abuse
 admin
 alert
 mcafee
 messagelab
 microsoft
 noreply
 pandasoft
 postmaster
 recipients
 report
 root
 sophos
 spam
 symantec
 trendmicro
 virus
 webmaster

Для отправки писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Зараженные письма рассылаются с различными заголовками. Текст письма содержит только ссылку на зараженный файл-архив в интернете. Имя архива соответствует теме письма.

 Тема письма:
 
 details
 girls
 image
 love
 message
 music
 news
 photo
 pic
 readme
 resume
 screensaver
 song
 video

Текст письма:

Содержит только ссылку на зараженный ZIP-архив в интернете. Имя архива соответствует теме письма. ZIP-архив содержит копию червя с двойным расширением. Например:

 
 love.jpg                               ...scr

Действие

Червь собирает нажатия клавиш, данные об общих папках (shares), пароли автосохранения Internet Explorer, пароли от электронной почты и др. конфиденциальные данные и отсылает их на адрес www.melan******oll.biz.