Worm.Win32.Eyeveg.m

Worm.Win32.Eyeveg.m («Лаборатория Касперского») также известен как: W32/Eyeveg.worm.gen (McAfee), Win32.HLLW.Eyeveg.5 (Doctor Web), W32/Eyeveg-K (Sophos), Worm/Eyeveg.m.1 (H+BEDV), W32/Eyeveg.N.worm (Panda)

Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на интернет-сайт, на котором находится архивированная копия червя.

Червь представляет собой PE EXE-файл. Упакован UPX. Размер в упакованом виде — 79872 байта, размер в распакованном виде — примерно 553472 байта.

Инсталляция

После запуска червь копирует себя с произвольным именем в системный каталог Windows.

Например:

  
  %System%\VQLOQV.EXE

Затем регистрирует себя в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "vqloqv"="vqloqv.exe"
  

Также в системном каталоге Windows червь создает dll-файл с произвольным именем. Например:

  %System%\clsmlcsv.dll

Данный файл детектируется Антивирусом Касперского как Trojan-Spy.Win32.Iespy.g.

Распространение через email

Для поиска адресов жертв червь сканирует файлы с расширениями из нижеприведенного списка и рассылает себя по всем найденным в них адресам электронной почты.

  
  .ASP
  .DBX
  .EML
  .HTM
  .MBX
  .SHT
  .TBB
  

Игнорируется отправка писем на адреса, содержащие следующие строки:

  
  abuse
  admin
  alert
  mcafee
  messagelab
  microsoft
  noreply
  pandasoft
  postmaster
  recipients
  report
  root
  sophos
  spam
  symantec
  trendmicro
  virus
  webmaster

Для отправки писем червь использует имеющийся на зараженной машине почтовый клиент.

Характеристики зараженных писем

Зараженные письма рассылаются с различными заголовками. Текст письма содержит только ссылку на зараженный файл-архив в интернете. Имя архива соответствует теме письма.

  Тема письма:
  
  details
  girls
  image
  love
  message
  music
  news
  photo
  pic
  readme
  resume
  screensaver
  song
  video

Текст письма:

Содержит только ссылку на зараженный ZIP-архив в интернете. Имя архива соответствует теме письма. ZIP-архив содержит копию червя с двойным расширением. Например:

  
  love.jpg                               ...scr

Действие

Червь собирает нажатия клавиш, данные об общих папках (shares), пароли автосохранения Internet Explorer, пароли от электронной почты и др. конфиденциальные данные и отсылает их на адрес www.melan******oll.biz.