Nume:W32/Expirio.A
Descoperit pe data de:13/05/2008
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~140.000 Bytes
Versiune IVDF:7.00.04.32 - Tuesday, May 13, 2008

 General Metoda de raspandire:
   • Infecteaza fisiere


Alias:
   •  Symantec: W32.Kakavex
   •  Mcafee: W32/Expiro
   •  Kaspersky: Virus.Win32.Expiro.h
   •  Sophos: W32/Expiro-D
   •  VirusBuster: Win32.Expiro.Gen
   •  Eset: Win32/Expiro.G
   •  Bitdefender: Win32.Kakavex.J

Detectii similare:
   •  W32/Expiro.C
   •  W32/Expiro.B
   •  W32/Expiro.Q


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Infecteaza fisiere
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– Fisier inofensiv:
   • %home%\Local Settings\Application Data\%combinatie de caractere
      aleatoare%32.dll

– Un fisier temporar care poate fi sters dupa aceea:
   • %fisiere infectate%.ivr

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
– Sunt adaugate urmatoarele sectiuni fisierului infectat:
   • .data
   • .text
   • .data

Cu defecte - Fisierele pot fi infectate incomplet sau in mod gresit. Aceasta rezulta in fisiere infectate nefunctionale sau care genereaza erori.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Evitarea detectiei:

Criptare - Codul virusului este criptat in interiorul fisierului infectat,


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Dimensiunea codului malitios adaugat:

Aproximativ 140.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa calea exacta:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Windows Product ID
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parola din programul:
   • INETCOMM Server

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • kkq-vx_mtx%numar%

Description inserted by Daniel Constantin on Tuesday, March 2, 2010
Description updated by Daniel Constantin on Thursday, March 4, 2010

Back . . . .