VírusW32/Expiro.Q
Data em que surgiu:19/02/2010
Tipo:File infector
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~200.000 Bytes
Versão IVDF:7.10.04.104 - sexta-feira, 19 de fevereiro de 2010

 Vulgarmente Meio de transmissão:
   • Infects files (pt)


Alias:
   •  Symantec: W32.Xpiro.B
   •  Kaspersky: Virus.Win32.Expiro.q

Detecção similar:
   •  W32/Expiro.B
   •  W32/Expirio.A
   •  W32/Expiro.C


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Infects files (pt)
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %home%\Local Settings\Application Data\%uma série de caracteres aleatórios%.dll
   • %home%\Application Data\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
   • %home%\Application Data\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf

– Ficheiro temporário que poderá ser apagado mais tarde:
   • .ivr

%home%\Application Data\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar Outras investigações apontam para que este ficheiro, também, seja malware.
%home%\Application Data\Mozilla\Firefox\Profiles\%oito caracteres aleatórios%.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js Outras investigações apontam para que este ficheiro, também, seja malware.

 Infecção de ficheiros Infector type: (pt)

Appender (pt)
– Infector adds the following sections: (pt)
   • .data
   • .data

Infector damaging sometimes (pt)


Infector Stealth (pt)
 Infector stealth no (pt)


Self Modification (pt)

Infector Encrypted (pt)


Forma:

Este atacante pesquisa ficheiros activamente.


Infection Length (pt)

Approximately (pt) 200.000 Bytes


The following files are infected (P) (pt)

By exact path (pt)
   • *.exe

Files in the following directories (pt)
   • %todas as pastas%

 Registry (Registo do Windows) Altera as seguintes chaves de registo do Windows:

Opções de segurança baixa no Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Opções de segurança baixa no Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Opções de segurança baixa no Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Opções de segurança baixa no Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

Opções de segurança baixa no Internet Explorer:
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4]
   Valor anterior:
   • "1609"=dword:00000001
   Valor recente:
   • "1609"=dword:00000000
   • "2103"=dword:00000000

 Roubos de informação Tenta roubar a seguinte informação:
– Informações da conta de e-mail obtidas da chave de registo: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– As palavras-chave dos seguintes programas:
   • Firefox
   • Filezilla
   • INETCOMM Server

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • kkq-vx_mtx%número%

Descrição enviada por Daniel Constantin em segunda-feira, 1 de março de 2010
Descrição atualizada por Daniel Constantin em quinta-feira, 4 de março de 2010

Voltar . . . .