Name:W32/Expiro.B
Entdeckt am:07/11/2007
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~110.000 Bytes
IVDF Version:7.00.00.170 - Montag, 5. November 2007

 General Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Symantec: W32.Kakavex
   •  Mcafee: W32/Expiro
   •  Kaspersky: Virus.Win32.Expiro.j
   •  Sophos: W32/Expiro-A
   •  VirusBuster: Win32.Expiro.B
   •  Eset: Win32/Vint.A
   •  Bitdefender: Win32.Kakavex.D

Ähnliche Erkennung:
   •  W32/Expiro.Q
   •  W32/Expirio.A
   •  W32/Expiro.C


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien
   • Stiehlt Informationen

 Dateien Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %infizierte Dateien%.ivr

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Infector adds the following sections: (de)
   • .data
   • .text
   • .bss
   • .data

Infector damaging sometimes (de)


Stealth - Verschleierung:
 Keine Stealth-Techniken angewandt. - Der Virus modifiziert den OEP (Originaler Einsprungspunkt) der infizierten Datei, sodass dieser auf den virulenten Code zeigt.


Selbst-Modifikation:

Verschlüsselt - Der virulente Code in der infizierten Datei ist verschlüsselt.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Infektionslänge:

etwa 110.000 Bytes


Die folgenden Dateien sind infiziert:

Nach exaktem Pfad:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %alle Verzeichnisse%

 Diebstahl – Nachdem eine der folgenden Webseiten besucht wurde wird eine Protokollfunktion gestartet:
   • 53bank.com; banking.halifax-online.co.uk; barclays.com;
      chechenpress.info; crutop.nu; ebay.com; fethard.biz; goldpoll.com;
      gronxplanets.ru; intgold.com; kavkazcenter.com; kgbrelaxclub.ru;
      kidos-bank.ru; master-x.com; myonlineaccounts2.abbeynational.co.uk;
      new.egg.com; olb2.nationet.com; online-business.lloydstsb.co.uk;
      openbank.com; paypal.com; seclab.ru; securitylab.ru; stormpay.com;
      tat-neftbank.ru; totallyfreebanking.com; vendorsname.ws;
      welcome3.smile.co.uk; www.allahabadbank.com; www.b2b-trust.com;
      www.bank-banque-canada.ca; www.bankofindia.com; www.bankofmadura.com;
      www.bbin.ru; www.bmo.com; www.candidateverifier.com; www.cbr.ru;
      www.cibc.com; www.cwbank.com; www.icbank.ru; www.kmb.ru;
      www.lbcdirect.laurentianbank.ca; www.mmbank.ru; www.nbc.ca;
      www.netmagister.com; www.ponziscams.com; www.rbc.com; www.socks.ac;
      www.uniastrum.ru; www.vendorsname.ws; www.vtb.ru; www.worldbank.org;
      www1.hsbc.ca; yambo.biz

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • kkq-vx_mtx1

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 2. März 2010
Die Beschreibung wurde geändert von Daniel Constantin am Donnerstag, 4. März 2010

zurück . . . .