En ny Eyeveg-orm – Eyeveg.g ifølge Sophos, Eyeveg.d ifølge Panda Software – vekker oppsikt, ikke fordi den spres enormt raskt, men på grunn av mangfoldet av ondvarefunksjoner den installerer hos offeret.
Spredningen er primitiv, i form av vedlegg til e-post. Ormen har egen e-postsender, og sender seg selv til adresser fanget opp hos offeret. For mottakeren, ser det ut som om offeret selv har sendt e-posten. Overskrift og navn på vedlegg varieres etter et vilkårlig mønster. For å infiseres, må ofret klikke på vedlegget.
Når offeret klikker på vedlegget, gjør ormen mer enn bare å sende seg selv videre. Den installerer en tasteavlytter og en bakdør. Den kan sende og motta filer fra serveren på et bestemt nettsted. Tasteavlytteren innbærer at den logger for eksempel brukernavn, passord, bankkonti og så videre.
Ormen sørger for å startes automatisk hver gang PC-en startes. Den greier å slette sin oppføring i oppgavelisten i Windows 9x, men ikke i Windows 2000 og XP.
Med en e-postuavhengig spredningsmekanisme og mer avanserte mekanismer for å skjule sin virksomhet for brukeren, hadde denne Eyeveg-varianten vært en alvorlig trussel. Tasteavlytteren – «keylogger» – fanger opp brukernavn og passord, men kan ikke bryte tofaktorautentisering slik den praktiseres av de fleste europeiske nettbanker, med mindre den for eksempel kombineres med en mulighet for å søke opp og overføre en «wallet», en form for tofaktorautenisering som blant annet brukes av tidligere DnB-kunder i DnB Nor.
Foreløpig betraktes derfor Eyeveg-varianten, også kjent som Wurmark, som en mindre trussel. På den andre siden representerer kombinasjonen av orm, bakdør og tasteavlytter en ny type hybridorm som kan bli en alvorlig trussel framover.
