Nume:W32/Expiro.Q
Descoperit pe data de:19/02/2010
Tip:File Infector
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~200.000 Bytes
Versiune IVDF:7.10.04.104 - Friday, February 19, 2010

 General Metoda de raspandire:
   • Infecteaza fisiere


Alias:
   •  Symantec: W32.Xpiro.B
   •  Kaspersky: Virus.Win32.Expiro.q

Detectii similare:
   •  W32/Expiro.B
   •  W32/Expirio.A
   •  W32/Expiro.C


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Creeaza fisiere malware
   • Infecteaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %home%\Local Settings\Application Data\%combinatie de caractere aleatoare%.dll
   • %home%\Application Data\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
   • %home%\Application Data\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf

– Un fisier temporar care poate fi sters dupa aceea:
   • %fisiere infectate%.ivr

– %home%\Application Data\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar Analiza ulterioara a relevat ca si acest fisier este malware.
– %home%\Application Data\Mozilla\Firefox\Profiles\%sir de 8 caractere aleatoare%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js Analiza ulterioara a relevat ca si acest fisier este malware.

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
– Sunt adaugate urmatoarele sectiuni fisierului infectat:
   • .data
   • .data

Cu defecte - Fisierele pot fi infectate incomplet sau in mod gresit. Aceasta rezulta in fisiere infectate nefunctionale sau care genereaza erori.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Evitarea detectiei:

Criptare - Codul virusului este criptat in interiorul fisierului infectat,


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Dimensiunea codului malitios adaugat:

Aproximativ 200.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa calea exacta:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%

 Registrii sistemului Urmatoarele chei din registri sunt modificate:

Reduce setarile de securitate din Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce setarile de securitate din Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce setarile de securitate din Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce setarile de securitate din Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce setarile de securitate din Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Vechea valoare:
   • "1609"=dword:00000001
   Noua valoare:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parolele din urmatoarele programe:
   • Firefox
   • Filezilla
   • INETCOMM Server

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • kkq-vx_mtx%numar%

Description inserted by Daniel Constantin on Monday, March 1, 2010
Description updated by Daniel Constantin on Thursday, March 4, 2010

Back . . . .