| Bezeichnung |
Name |
Typ |
| Eyeveg.M |
Win32.Worm.Eyeveg.M |
|
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
19.09.2005 |
19.09.2005 |
| Größe |
Verbreitung |
Noch unterwegs |
| 79872 Bytes(gepackt) |
gering |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
Die Dateinamen und Registry-Einträge, die von diesem Wurm benutzt werden,
sind auf jedem infizierten Rechner anders.
Sie können den Registry Editor öffnen (Start -> Run -> "regedit") und suchen
(CTRL+F) nach folgendem Text:
"IESpy 1.0 Type Library" (ohne Anführungszeichen); wenn sie
das finden, hat die ActiveX Komponente des Wurms wahrscheinlich Ihren Rechner
infiziert.
|
Technische Beschreibung:
|
Dieser Wurm verbreitet sich durch Emails, die den arglosen User dazu einladen,
ihn von einer Webseite herunter zu laden. Er enthält einen Keylogger, eine Backdoor
und eine separate ActiveX Komponente, die als Trojan.Spy.Iespy.G
ermittelt wurde.
Der Virus hat eine Baustein Struktur, die ganz klar Ergebnis von zusammengefügten
Komponenten verschiedener Programmschreiber ist:
Einige Teile des Virus benutzen z.B. Win32 API für den Datenzugang, während
andere Funktionen benutzen.
Der Code wurde erstellt mit Visual C++ und gepackt mit einer abgewandelten Version
von UPX.
Der User erhält eine Email in folgendem Format:
Email From: die reale Adresse eines infizierten Users oder
eine ausgedachte Adresse;
Email Subject: eines der folgenden: "readme", "love", "resume",
"details", "news", "image", "message", "pic", "girls", "photo", "video", "music",
"song", "screensaver";
Email Body: Links zu africaplc.com
www.neptuncaffe.com
scheduleconsult.com
www.sismodular.com
readme| love| resume| details| news| image| message| pic| girls| photo| video|
music| song| screensaver}.zip
Der Dateiname im Link passt zum angegebenen Subject .
Die Absicht dieser Email ist, dass der User auf den Link klickt und eine Datei
herunter lädt, die den Virus (oder eine aktuelle Version) herunter lädt. Zum
jetzigen Zeitpunkt kann eine erneuerte Version des Virus von einer dieser Orte
herunter geladen werden (die Datei "readme.zip" enthält eine Datei namens "readme.txt.scr")
Diese Version ist ermittelt als Win32.Worm.Eyeveg.N bis zur
jetzigen Veröffentlichung wurde sie ermittelt als Dropped:Trojan.Spy.Iespy.G
(seit 19. September).
Bei Betrieb gebraucht der Virus eine Mutex namens "_sjdfzxcrwbhsvb", um seine
mehrfache Ausführung zu verhindern. Es ruft den RegisterServiceProcess auf,
um sich vor dem Task Manager bei Win9x zu verstecken. Er legt sich ab im Windows
System Ordner und schafft eine Entry im HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Registry Key, um bei jedem Neustart die Kopie laufen zu lassen; er legt die
eingebettete ActiveX Komponente (Trojan.Spy.Iespy.G) ab und registriert sie
als Browser Helper Object (eine Erweiterung des Internet Explorers); neben anderen
dunklen Aktionen zeichnet diese Komponente Daten auf, die vom User auf Webseiten
in Formulare eingegeben werden.
Die Namen, die der Virus benutzt (z.B. die abgelegte .exe Kopie und das .dll
Browser Helper Object) enthalten einige Kleinbuchstaben (auf jeder Maschine
unterschiedlich, abhängig von der hard disk drive Seriennummer).
Der Virus schafft einen Keylogger Threat, der Tastenanschläge aufzeichnet und
damit verbundenen Window Namen einer Textdatei mit der Endung ".dll" im Windows
System Ordner.
Der Hauptthreat setzt die Ausführung mit herabgesetzter Priorität fort; er schafft
einen Massenmailing Thread; dieser Thread schaut nach Dateien mit folgenden
Teile in ihren Namen (in dem aktuellen User's profile Ordner): ".dbx", ".tbb",
".eml", ".mbx", ".htm", ".asp", ".sht"; er sammelt Email Addressen aus diesen
Dateien und verschickt Nachrichten im oben beschriebenen Format; das "From"
Feld stammt fast immer aus einer anderen gesammelten Adresse.
Die Backdoor Komponente des Virus enthält die folgenden Funktionen (zugänglich
für den Besitzer der Webseite, zu der er sich zu verbinden versucht):
- lädt Dateien runter (in den System Ordner oder einen anderen Ordner);
- lässt herunter geladene Dateien oder spezifische Prozesse laufen;
- löscht Dateien;
- berichtet über den Fortgang des Massenmailings;
- listet den Inhalt von Ordnern auf;
- sammelt Infos von Dateien in einem bestimmten Ordner und Unterordnern (das
erste 1 KB jeder Datei wird angehängt an eine temporäre Datei, die an eine Webseite
geschickt wird);
- sucht nach speziellen Infos in Dateien;
- listet Prozesse auf und beendet bestimmte Prozesse;
- schafft und entfernt Ordner;
- setzt die Firewall außer Funktion;
- gibt Computernamen weiter, Usernamen, Hotmail Account Information, Daten in
geschützten Orten (wie von Internet Explorer gespeicherten Formularen und Passwörtern,
Outlook Express Account Informationen, MSN Explorer Passworte), eingegebene
Tastenanschläge, Formular Informationen, die vom Browser Helper Object gesammelt
werden;
- kopiert eine bestimmte Datei in den Startup Ordner.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Eyeveg.M Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
