Nombre:W32/Expiro.Q
Descubierto:19/02/2010
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:~200.000 Bytes
Versión del IVDF:7.10.04.104 - viernes 19 de febrero de 2010

 General Método de propagación:
   • Infects files (es)


Alias:
   •  Symantec: W32.Xpiro.B
   •  Kaspersky: Virus.Win32.Expiro.q

Detección similar:
   •  W32/Expiro.B
   •  W32/Expirio.A
   •  W32/Expiro.C


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Infects files (es)
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %home%\Local Settings\Application Data\%serie de caracteres aleatorios%.dll
   • %home%\Application Data\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
   • %home%\Application Data\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf

– Un fichero temporal, que puede ser eliminado después:
   • .ivr

%home%\Application Data\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar Los análisis adicionales indicaron que este fichero es también viral.
%home%\Application Data\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js Los análisis adicionales indicaron que este fichero es también viral.

 Infección de ficheros Infector type: (es)

Appender (es)
– Infector adds the following sections: (es)
   • .data
   • .data

Infector damaging sometimes (es)


Infector Stealth (es)
 Infector stealth no (es)


Self Modification (es)

Infector Encrypted (es)


Método:

Este infector busca ficheros para infectar.


Infection Length (es)

Approximately (es) 200.000 Bytes


The following files are infected (P) (es)

By exact path (es)
   • *.exe

Files in the following directories (es)
   • %todas las carpetas%

 Registro Modifica las siguientes claves del registro:

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor anterior:
   • "1609"=dword:00000001
   Nuevo valor:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

 Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • Firefox
   • Filezilla
   • INETCOMM Server

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • kkq-vx_mtx%número%

Descripción insertada por Daniel Constantin el lunes 1 de marzo de 2010
Descripción actualizada por Daniel Constantin el jueves 4 de marzo de 2010

Volver . . . .