Vrsta

W32/Eyeveg-G je crv s mogućnostima otvaranja backdoor-a i krađe zaporki.

Alias

• Worm.Win32.Eyeveg.f
• W32/Eyeveg.worm.gen
• WORM_WURMARK.J

Širenje

W32/Eyeveg-G se širi elektroničkom poštom, u privitku kao izvršna datoteka zapakirana u ZIP arhivu. Izvršna datoteka nosi neki od sljedećih naziva:

• screensaver.scr
• song.wav.scr
• music.mp3.scr
• video.avi.scr
• photo.jpg.scr
• girls.jpg.scr
• pic.jpg.scr
• message.txt.scr
• image.jpg.scr
• news.doc.scr
• details.doc.scr
• resume.doc.scr
• love.jpg.scr
• readme.txt.scr

Naziv ZIP-a će imati isti naziv kao i izvršna datoteka.

Aktivnosti

W32/Eyeveg-G pokušava kontaktirati određene adrese radi preuzimanja sljedećih programa ili naredbi. Akcije koje može napraviti su:

• Bilježenje aktivnosti na tipkovnici (Keylogging)
• Praćenje HTTP prometa
• Slanje e-pošte
• Krađa zaporki

W32/Eyeveg-G izbjegava slanje e-pošte na adrese koje sadrže sljedeće riječi:

• admin
• hostmaster
• messagelab
• symantec
• localdomain
• localhost
• mcafee
• postmaster
• webmaster
• spam
• report
• noreply
• recipients
• abuse
• microsoft
• root

Promjene na računalu

W32/Eyeveg-G će se kopirati u direktorij System32 kao datoteka sa slučajno odabranim nazivom, a kreirat će i sličnu datoteku s nastavkom .DLL. Zapisat će nove stavke u registry-ju:

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
  <random>
  <random>.exe

Uklanjanje

Preuzmite specijalizirane programe za čišćenje:

• http://www.sophos.com/support/cleaners/eyevggui.com
• http://www.sophos.com/support/cleaners/eyevgsfx.exe

Ostalo

Više podataka možete pronaći na stranicama Sophosa.