Worm.Win32.Eyeveg.f

Worm.Win32.Eyeveg.f («Лаборатория Касперского») также известен как: W32/Eyeveg.worm.gen (McAfee), Win32.HLLW.Eyeveg.2 (Doctor Web), W32/Wurmark-J (Sophos), Worm:Win32/Eyeveg.E (RAV), WORM_WURMARK.J (Trend Micro), Worm/Cipie (H+BEDV), W32/Eyeveg.H@mm (FRISK), PSW.Agent.5.V (Grisoft), Trojan.Spy.Agent.AJ (SOFTWIN), Trojan.W32.PWS.Prostor.A (ClamAV), W32/Mugly.M.worm (Panda), Win32/Eyeveg.I (Eset)

Вредоносная программа, написанная на Visual C++. Состоит из двух файлов — исполняемого EXE и динамической библиотеки DLL, которая хранится в EXE в виде ресурса. Исполняемый файл упакован UPX, его размер 80384 байт. Размер DLL — 77824 байт.

Инсталляция

Копирует себя в системную директорию под произвольным шестибуквенным именем, туда же помещает DLL. Скрывает свой процесс на Win9x-системах.

Вредные действия

Выключает встроенный фаерволл Windows XP.

Собирает нажатия клавиш, данные об общих папках (shares), пароли автосохранения Internet Explorer, пароли от электронной почты и др. конфиденциальные данные и отсылает их при помощи http POST запроса на адрес www.melan******oll.biz/n.php.

Распространение по email

Рассылает себя по email-адресам, найденным на данном компьютере в файлах типа html, eml, sht, asp, mbx, и др.

Имена файлов, рассылаемых по электронной почте:

  
  love.jpg         ...scr
  resume.doc       ...scr
  details.doc      ...scr
  news.doc         ...scr
  image.jpg        ...scr
  message.txt      ...scr
  pic.jpg          ...scr
  girls.jpg        ...scr
  photo.jpg        ...scr
  video.avi        ...scr
  music.mp3        ...scr
  song.wav         ...scr
  screensaver      ...scr 

Вложения рассылаются в ZIP-архивах с аналогичными названиями.

Распространение по сети

Также может копировать себя в открытые общие папки.