Nume:W32/Expiro.B
Descoperit pe data de:07/11/2007
Tip:File Infector
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~110.000 Bytes
Versiune IVDF:7.00.00.170 - Monday, November 5, 2007

 General Metoda de raspandire:
   • Infecteaza fisiere


Alias:
   •  Symantec: W32.Kakavex
   •  Mcafee: W32/Expiro
   •  Kaspersky: Virus.Win32.Expiro.j
   •  Sophos: W32/Expiro-A
   •  VirusBuster: Win32.Expiro.B
   •  Eset: Win32/Vint.A
   •  Bitdefender: Win32.Kakavex.D

Detectii similare:
   •  W32/Expiro.Q
   •  W32/Expirio.A
   •  W32/Expiro.C


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Infecteaza fisiere
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %fisiere infectate%.ivr

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
– Sunt adaugate urmatoarele sectiuni fisierului infectat:
   • .data
   • .text
   • .bss
   • .data

Cu defecte - Fisierele pot fi infectate incomplet sau in mod gresit. Aceasta rezulta in fisiere infectate nefunctionale sau care genereaza erori.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Evitarea detectiei:

Criptare - Codul virusului este criptat in interiorul fisierului infectat,


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Dimensiunea codului malitios adaugat:

Aproximativ 110.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa calea exacta:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%

 Furt de informatii – O rutina de logare este pornita dupa ce unul din urmatoarele site-uri este vizitat:
   • 53bank.com; banking.halifax-online.co.uk; barclays.com;
      chechenpress.info; crutop.nu; ebay.com; fethard.biz; goldpoll.com;
      gronxplanets.ru; intgold.com; kavkazcenter.com; kgbrelaxclub.ru;
      kidos-bank.ru; master-x.com; myonlineaccounts2.abbeynational.co.uk;
      new.egg.com; olb2.nationet.com; online-business.lloydstsb.co.uk;
      openbank.com; paypal.com; seclab.ru; securitylab.ru; stormpay.com;
      tat-neftbank.ru; totallyfreebanking.com; vendorsname.ws;
      welcome3.smile.co.uk; www.allahabadbank.com; www.b2b-trust.com;
      www.bank-banque-canada.ca; www.bankofindia.com; www.bankofmadura.com;
      www.bbin.ru; www.bmo.com; www.candidateverifier.com; www.cbr.ru;
      www.cibc.com; www.cwbank.com; www.icbank.ru; www.kmb.ru;
      www.lbcdirect.laurentianbank.ca; www.mmbank.ru; www.nbc.ca;
      www.netmagister.com; www.ponziscams.com; www.rbc.com; www.socks.ac;
      www.uniastrum.ru; www.vendorsname.ws; www.vtb.ru; www.worldbank.org;
      www1.hsbc.ca; yambo.biz

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • kkq-vx_mtx1

Description inserted by Daniel Constantin on Tuesday, March 2, 2010
Description updated by Daniel Constantin on Thursday, March 4, 2010

Back . . . .