Nom:W32/Expiro.Q
La date de la découverte:19/02/2010
Type:Infecteur de fichier
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~200.000 Octets
Version IVDF:7.10.04.104 - vendredi 19 février 2010

 Général Méthode de propagation:
   • Infects files (fr)


Les alias:
   •  Symantec: W32.Xpiro.B
   •  Kaspersky: Virus.Win32.Expiro.q

Détection similaires:
   •  W32/Expiro.B
   •  W32/Expirio.A
   •  W32/Expiro.C


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il crée des fichiers malveillants
   • Infects files (fr)
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %home%\Local Settings\Application Data\%chaîne de caractères aléatoire%.dll
   • %home%\Application Data\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
   • %home%\Application Data\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • .ivr

%home%\Application Data\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar Les investigations ultérieures ont prouvé que ce ficher est également un Malware.
%home%\Application Data\Mozilla\Firefox\Profiles\%chaîne de caractères aléatoire de huit digits%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

 Infecteur Infector type: (fr)

Appender (fr)
– Infector adds the following sections: (fr)
   • .data
   • .data

Infector damaging sometimes (fr)


Infector Stealth (fr)
 Infector stealth no (fr)


Self Modification (fr)

Infector Encrypted (fr)


Méthode:

Cet infecteur direct cherche activement des fichiers pour les infecter


Infection Length (fr)

Approximately (fr) 200.000 Octets


The following files are infected (P) (fr)

By exact path (fr)
   • *.exe

Files in the following directories (fr)
   • %tous les dossiers%

 Registre Les clés de registre suivantes sont changées:

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Il réduit les réglages de sécurité d'Internet Explorer
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   L'ancienne valeur:
   • "1609"=dword:00000001
   La nouvelle valeur:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

 Vol d'informations Il essaie de voler l'information suivante:
– Des informations sur le compte d'email, obtenues de la clé de registre: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Les mots de passe des programmes suivants:
   • Firefox
   • Filezilla
   • INETCOMM Server

 Informations divers Mutex:
Il crée le Mutex suivant:
   • kkq-vx_mtx%nombre%

Description insérée par Daniel Constantin le lundi 1 mars 2010
Description mise à jour par Daniel Constantin le jeudi 4 mars 2010

Retour . . . .