Nome del virus:W32/Expiro.Q
Scoperto:19/02/2010
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~200.000 Byte
Versione IVDF:7.10.04.104 - venerdì 19 febbraio 2010

 Generale Metodo di propagazione:
   • Infects files (it)


Alias:
   •  Symantec: W32.Xpiro.B
   •  Kaspersky: Virus.Win32.Expiro.q

Individuazione simile:
   •  W32/Expiro.B
   •  W32/Expirio.A
   •  W32/Expiro.C


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Duplica file “maligni”
   • Infects files (it)
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

 File Vengono creati i seguenti file:

– File “non maligni”:
   • %home%\Local Settings\Application Data\%stringa di caratteri casuale%.dll
   • %home%\Application Data\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
   • %home%\Application Data\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • .ivr

%home%\Application Data\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar Ulteriori analisi hanno accertato che questo file è anch'esso un malware.
%home%\Application Data\Mozilla\Firefox\Profiles\%stringa casuale di otto caratteri%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 File virale Infector type: (it)

Appender (it)
– Infector adds the following sections: (it)
   • .data
   • .data

Infector damaging sometimes (it)


Infector Stealth (it)
 Infector stealth no (it)


Self Modification (it)

Infector Encrypted (it)


Metodo:

Questo virus ad azione diretta ricerca attivamente dei file.


Infection Length (it)

Approximately (it) 200.000 Byte


The following files are infected (P) (it)

By exact path (it)
   • *.exe

Files in the following directories (it)
   • %tutte le directory%

 Registro Vengono cambiate le seguenti chiavi di registro:

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Livello basso nelle impostazioni di sicurezza di Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valore precedente:
   • "1609"=dword:00000001
   Nuovo valore:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le informazioni sull'account email sono ottenute dalla chiave di registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Le password dai seguenti programmi:
   • Firefox
   • Filezilla
   • INETCOMM Server

 Varie Mutex:
Crea il seguente Mutex:
   • kkq-vx_mtx%numero%

Descrizione inserita da Daniel Constantin su lunedì 1 marzo 2010
Descrizione aggiornata da Daniel Constantin su giovedì 4 marzo 2010

Indietro . . . .