Описание Virus.Win32.Expiro.w

akok · 29 Мар 2011

Не далее чем вчера, попался мне в руки интересный заражённый файл Virus.Win32.Expiro.w.

Зловред оказался довольно вирулентным и за довольно короткий срок заразил не только исполняемые файлы на локальных дисках, но потянулся и к исполняемым файлам на сетевых папках и флешках.

Отметился он и в изменении настроек зон безопасности Internet Explorer:

Разрешать META REFRESH * ^ 1609
Разрешить запущенные сценарием окна без ограничений размеров и положения ** ^ 2103

RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]

Создаёт следующие ключи реестра:

Код:

RegOpenKeyEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup) [c:\documents and settings\е\Ра л\notepad.exe]
RegCreateKeyEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\IExploreLastModifiedLow, REG_DWORD: 1206403317) [c:\documents and settings\е\Ра л\notepad.exe]
RegSetValueEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\IExploreLastModifiedHigh, REG_DWORD: 30141820) [c:\documents and settings\е\Ра л\notepad.exe]

Особенное, на чем нужно заострить внимание, так это на механизме заражения исполняемых файлов.
Зловред не умеет заражать файлы "на лету", в начале он создает копию файла с расширением *.vir, а после копирует эту копию на место оригинального файла с исправлением расширения, приблизительно так:
notepad.exe=> notepad.vir => notepad.exe

CreateFile(C:\WINDOWS\system32\notepad.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\notepad.vir->C:\WINDOWS\system32\notepad.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\tourstart.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\tourstart.vir->C:\WINDOWS\system32\tourstart.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\cmd.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\cmd.vir->C:\WINDOWS\system32\cmd.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\explorer.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\explorer.vir->C:\WINDOWS\explorer.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\mobsync.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\mobsync.vir->C:\WINDOWS\system32\mobsync.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\utilman.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\utilman.vir->C:\WINDOWS\system32\utilman.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\osk.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\osk.vir->C:\WINDOWS\system32\osk.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\magnify.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\magnify.vir->C:\WINDOWS\system32\magnify.exe) [c:\documents and settings\е\Ра л\notepad.exe]
CreateFile(C:\WINDOWS\system32\rcimlby.vir) [c:\documents and settings\е\Ра л\notepad.exe]
Copy(C:\WINDOWS\system32\rcimlby.vir->C:\WINDOWS\system32\rcimlby.exe) [c:\documents and settings\е\Ра л\notepad.exe]

________________________________

Для лечения от этого зловреда необходимо выполнить следующие рекомендации:

________________________________

Если по каким-либо причинам у вас это вызывает трудности, то обратитесь за квалифицированной и бесплатной помощью у нас на форуме в раздел "Лечение персонального компьютера от вирусов ". Для этого необходимо выполнить простые Правила оформления запроса.

________________________________

Если вы можете дополнить данное описание, прошу не стеснятся и отписываться в этой теме.

Описание Virus.Win32.Expiro.w

Переводчик Google

akok

Похожие темы