Описание
Win32.HLLW.Eyeveg.2 является червем с функционалом бэкдора, преимущественно распространяется по электронной почте
Запуск вируса
После запуска, копирует себя в системную директорию с произвольным именем и добавляет на себя
ссылку в ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"ioququ"="ioququ.exe"
Сбрасывает и регистрирует DLL в качестве объекта IESpy.SpyBHO:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84695FD5-A8A8-11D8-978E-005022E14DE2}
Распространение
В поисках почтовых адресов сканирует файлы с расширениями:
.SHT
.ASP
.HTM
.MBX
.EML
.TBB
.DBX
Исключает адреса с подстроками:
root
microsoft
abuse
recipients
noreply
reports
spam
microsoft
webmaster
postmaster
mcafee
webmaster
localhost
localdomain
symantec
messagelab
hostmaster
admin
Адрес SMTP-сервера берется из текущих настроек системы. К создаваемым письмам прикрепляет ZIP-архив, содержащий копию червя с одним из имен:
readme.txt .scr
love.jpg .scr
resume.doc .scr
details.doc .scr
news.doc .scr
image.jpg .scr
message.txt .scr
pic.jpg .scr
girls.jpg .scr
photo.jpg .scr
video.avi .scr
music.mp3 .scr
song.wav .scr
screensaver .scr
Действия
Периодически обращается к сайту www.melaniecarroll.biz, с целью получения очередной команды или отправки результата выполнения предыдущей. Позволяет скачивать и выполнять файлы из сети, произвольно работать с файловой системой зараженной машины, собирать нажатые клавиши, системные пароли, пароли автозаполнения форм, перечислять папки общего доступа, завершать процессы, отключать встроенный в Windows фаервол и т.д.
