Name:W32/Expiro.Q
Entdeckt am:19/02/2010
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~200.000 Bytes
IVDF Version:7.10.04.104 - Freitag, 19. Februar 2010

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Symantec: W32.Xpiro.B
   •  Kaspersky: Virus.Win32.Expiro.q

Ähnliche Erkennung:
   •  W32/Expiro.B
   •  W32/Expirio.A
   •  W32/Expiro.C


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %home%\Local Settings\Application Data\%zufällige Buchstabenkombination%.dll
   • %home%\Application Data\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
   • %home%\Application Data\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %infizierte Dateien%.ivr

%home%\Application Data\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.
%home%\Application Data\Mozilla\Firefox\Profiles\%achtstellige zufällige Buchstabenkombination%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Infector adds the following sections: (de)
   • .data
   • .data

Infector damaging sometimes (de)


Stealth - Verschleierung:
 Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Selbst-Modifikation:

Verschlüsselt - Der virulente Code in der infizierten Datei ist verschlüsselt.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Infektionslänge:

etwa 200.000 Bytes


Die folgenden Dateien sind infiziert:

Nach exaktem Pfad:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Registry Folgende Registryschlüssel werden geändert:

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Verringert die Sicherheitseinstellungen des Internet Explorers:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Alter Wert:
   • "1609"=dword:00000001
   Neuer Wert:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

 Diebstahl Es wird versucht folgende Information zu klauen:
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Passwörter folgender Programme:
   • Firefox
   • Filezilla
   • INETCOMM Server

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • kkq-vx_mtx%Nummer%

Die Beschreibung wurde erstellt von Daniel Constantin am Montag, 1. März 2010
Die Beschreibung wurde geändert von Daniel Constantin am Donnerstag, 4. März 2010

zurück . . . .