BitDefender ne-a anuntat despre aparitia unui nou virus cu potential mare de raspandire.
Nume:Win32.Worm.Eyeveg.M
Alias:
Tip: keylogger, backdoor
Marime: 79872 bytes (packed EXE), ~192 KB (unpacked), 77824 bytes (componenta Browser Helper Object)
Descoperit: 19.09.2005
Detectat: 19.09.2005
Raspandire: Scazuta
Risc: Ridicat
ITW: Da
Simptome:
Numele fisierelor si a cheilor din registrii pe care le foloseste acest virme sunt diferite pentru fiecare computer infectat. Deschideti Registry Editor (Start -> Run -> „regedit”) si cautati (CTRL+F) urmatorul text: „IESpy 1.0 Type Library” (fara ghilimele); daca textul este gasit componenta ActiveX a viermelui probabil v-a infectat calculatorul.
Descriere tehnica:
Acest vierme se raspandeste trimitand e-mailuri care ii invita pe utlizatori sa il descarce de pe un site; el contine un keylogger, un backdoor si o componenta separata ActiveX care este detectata ca Trojan.Spy.Iespy.G.
Virusul are o structura modulara, care in mod clar este rezultatul combinarii unor elemente scrise de programatori diferiti; de exemplu, unlele componente ale virusului folosesc Win32 API pentru accesul la fisiere, in timp ce altele folosesc functiile ; unul dintre programatori este de fapt un programator incepator, el scriind o functie care intoarce un pointer spre o varabila locala. Codul a foste compilat cu Visual C++ si impachetat cu o versiune modificata de UPX.
Utilizatorul primeste un email in formatul urmator:
De la: O adresa de email reala a unui utilizator infectat sau adrese falsificate
Subiect: Unul din nurmatoarele: „readme”, „love”, „resume”, „details”, „news”, „image”, „message”, „pic”, „girls”, „photo”, „video”, „music”, „song”, „screensaver”;
Scopul acestui email este de a-l convinge pe utilizator sa acceseze link-ul si sa descarce un fisier care contine virusul. O versiune actulizata a virusului poate fi descarcata de la una din aceste locatii; (fisierul „readme.zip” contine un alt fisier numit „readme.txt.scr”); aceasta versiune este detectata ca Win32.Worm.Eyeveg.N; pana la lansarea semnaturii virusului (19 septembrie), a fost detectat ca Dropped:Trojan.Spy.Iespy.
Cand este rulat, virusul foloseste un mutex numit „_sjdfzxcrwbhsvb” pentru a preveni rularea mai multor dintre copiile sale. Se ascunde sub RegisterServiceProcess pentru a nu fi descoperit de Task Manager pe Win 9X. Isi lasa o copie in fisierul Windows System si creaza o intrare in cheia de registri HKLMSoftwareMicrosoftWindowsCurrentVersionRun pentru a fi rulat la fiecare pornire a calculatorului. Lasa componenta Active X (Troian.Spy.Lespy.G) si se inreistreaza ca Browser Helper Object (o extensie a Internet Explorer); printre celelalte actiuni ale sale, aceasta componenta va inregistra datele introduse de utilizator in paginile web.
Numele fisierelor folosite de virus (de exemplu fisierele copii .exe lasate si .dll Browser Helper Object) contin cateva litere mici (diferite de la calculator la calculator, depinzand de numarul de inregistrare a hard disk-ului).
Virusul creaza un thread care inregistreaza tastele apasate si numele ferestrelor intr-un fisier text cu extensia .dll in directorul Windows System.
Procesul principal reia executia cu prioritate mica; creaza un thread de mass- mailing; acesta cauta fisiere cu urmatoarele substringuri in numele lor (in directorul cu profilul utilizatorului curent): „.dbx”, „.tbb”, „.eml”, „.mbx”, „.htm”, „.asp”, „.sht”. aduna adrese de mail din acele fisiere si trimite mesaje sub formatul descris mai sus; campul “De la” este aproape intotdeauna flasificat cu o alta adresa gasita.
Componenta backdoor a virusului include urmatoarele functii (disponibile detinatorului unui site la care incearca sa se conecteze):
– Descarca fisiere (in directorul system sau intr-un alt fisier);
– Ruleaza fisierele descarcate sau procesele specificate
– Sterge fisiere
– Raporteaza informatii despre progresul procesului de trimitere de mesaje (mass-mailling)
– Listeaza continutul fisierelor;
– Colecteaza informatii de la fisierele dintr-un director specificat si din subdirectoarele sale (primul kilobyte din fiecare fisier este adaugat intr-unul temporar care este postat pe un site);
– Cauta informatii specifice in fisiere
– Listeaza procesele si opreste procese specificate;
– Creaza fisiere, sterge fisiere;
– Dezactiveaza firewall-ul
– Raporteaza numele computerului, numele utilizatorului, informatiile contului hotmail, datel din Protected Storage (cum ar fi formele retinute din Internet Explorer si parole, informatii despre contul Outlook Expres, parole MSN Explorer), tastele apasate in timpul logarilor, informatii colectate de Browser Helper Object.
