Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLW.Eyeveg.2

(Email-Worm.Win32.Eyeveg.m, PAK_Generic.001, I-Worm/Generic.AST, System error, TR/Downloader.Gen, Worm/Eyeveg.l.A, Embedded.Email-Worm.Win32.Eyeveg.f, Generic.Malware.SFL!MH@mmoeg.370971CC, Worm/Eyeveg.E, Worm/Eyeveg.f.DLL, Email-Worm.Win32.Eyeveg.f, Worm/Eyeveg.M.3, WORM_WURMARK.P, W32/Eyeveg.worm.gen, Worm/Eyeveg.CF, Win32.Worm.Eyeveg.M, TROJ_GEN.0Z0402, Worm/Eyeveg.CG, Trojan.Spy.Agent.AJ, Worm/Eyeveg.f)

Добавлен в вирусную базу Dr.Web: 2005-05-10

Описание добавлено:

Описание

Win32.HLLW.Eyeveg.2 является червем с функционалом бэкдора, преимущественно распространяется по электронной почте

Запуск вируса

После запуска, копирует себя в системную директорию с произвольным именем и добавляет на себя ссылку в ключе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"ioququ"="ioququ.exe"

Сбрасывает и регистрирует DLL в качестве объекта IESpy.SpyBHO:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84695FD5-A8A8-11D8-978E-005022E14DE2}

Распространение

В поисках почтовых адресов сканирует файлы с расширениями:

    .SHT
    .ASP
    .HTM
    .MBX
    .EML
    .TBB
    .DBX
Исключает адреса с подстроками:
    root
    microsoft
    abuse
    recipients
    noreply
    reports
    spam
    microsoft
    webmaster
    postmaster
    mcafee
    webmaster
    localhost
    localdomain
    symantec
    messagelab
    hostmaster
    admin
Адрес SMTP-сервера берется из текущих настроек системы. К создаваемым письмам прикрепляет ZIP-архив, содержащий копию червя с одним из имен:
    readme.txt          .scr
    love.jpg            .scr
    resume.doc          .scr
    details.doc         .scr
    news.doc            .scr
    image.jpg           .scr
    message.txt         .scr
    pic.jpg             .scr
    girls.jpg           .scr
    photo.jpg           .scr
    video.avi           .scr
    music.mp3           .scr
    song.wav            .scr
    screensaver         .scr

Действия

Периодически обращается к сайту www.melaniecarroll.biz, с целью получения очередной команды или отправки результата выполнения предыдущей. Позволяет скачивать и выполнять файлы из сети, произвольно работать с файловой системой зараженной машины, собирать нажатые клавиши, системные пароли, пароли автозаполнения форм, перечислять папки общего доступа, завершать процессы, отключать встроенный в Windows фаервол и т.д.