Nume:W32/Expiro.C
Descoperit pe data de:22/07/2008
Tip:File Infector
ITW:Da
Numar infectii raportate:Mediu spre ridicat
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Mediu
Fisier static:Nu
Marime:~140.000 Bytes
Versiune IVDF:7.00.05.147 - martes 22 de julio de 2008

 General Metoda de raspandire:
   • Infecteaza fisiere


Alias:
   •  Symantec: W32.Kakavex
   •  Mcafee: W32/Expiro
   •  Kaspersky: Virus.Win32.Expiro.l
   •  Sophos: W32/Expiro-D
   •  Eset: Win32/Expiro.H
   •  Bitdefender: Win32.Kakavex.M

Detectii similare:
   •  W32/Expirio.A
   •  W32/Expiro.B
   •  W32/Expiro.Q


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier
   • Infecteaza fisiere
   • Reduce setarile de securitate
   • Sustrage informatii

 Fisiere Sunt create fisierele:

– Fisier inofensiv:
   • %home%\Local Settings\Application Data\%combinatie de caractere
      aleatoare%.dll

– Un fisier temporar care poate fi sters dupa aceea:
   • %fisiere infectate%.ivr

 Infectie de fisiere Tip de infector:

Appender - Codul virusului este adaugat la sfarsitul fisierului infectat.
– Sunt adaugate urmatoarele sectiuni fisierului infectat:
   • .data
   • .text
   • .data

Cu defecte - Fisierele pot fi infectate incomplet sau in mod gresit. Aceasta rezulta in fisiere infectate nefunctionale sau care genereaza erori.


Camuflaj:
 Nu utilizeaza tehnici de camuflaj. Modifica Entry Point-ul original al fisierului infectat pentru a-l face sa indice spre codul malitios.


Evitarea detectiei:

Criptare - Codul virusului este criptat in interiorul fisierului infectat,


Metoda:

Virusul cauta in mod activ fisiere pe care sa le infecteze apoi isi termina executia.


Dimensiunea codului malitios adaugat:

Aproximativ 140.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa calea exacta:
   • *.exe

Fisierele din oricare din directoarele de mai jos:
   • %toate directoarele%

 Furt de informatii Incearca sa obtina urmatoarele informatii:
– Windows Product ID
– Informatii despre contul de email, obtinute din cheia de registru: HKCU\SoftwareMicrosoft\Internet Account Manager\Accounts

– Parola din programul:
   • INETCOMM Server

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • kkq-vx_mtx%numar%

Descripción insertada por Daniel Constantin el jueves 4 de marzo de 2010
Descripción actualizada por Daniel Constantin el jueves 4 de marzo de 2010

Volver . . . .