Hack and Secure
Главная
Вход
Регистрация
Вторник, 07.07.2026, 00:49Приветствую Вас Бомж | RSS
Меню

Категории
BugTrack [80]
Bug's and exploits
Malware [27]
Worms, viruses, trojans and other...
ITNews [4]
All IT news from all the world
Взлом [13]
Hacked site's
OpenSource [0]
OpenSource news
Патчи и Обновления [1]
Патчи и Обновления разного рода софта
ALERT [2]
Суд над хакерами
Google [2]
Новости от Google
Hack Attack's [2]
Новости о новых и не очень видов атак
Статистика [6]
Статистика от ведущих компаний по безопасность
ПО [0]
Мелкософт, яблочные, пингвины и мобильное ПО
Soft [0]
All kind of software
SEONews [0]
SEONews
Новости сайта [0]
Новости нашего портала

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Вход

Главная » 2011 » Июнь » 14 » Virus.Win32. Expiro.w
15:48
Virus.Win32. Expiro.w

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Размер тела вируса – 110592 байта. Написана на С++.


Деструктивная активность

Для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами:

gazavat-svc
gazavat-svc_18
kkq-vx_mtx<rnd1>
Где <rnd1> - числовое значение от 1 до 100.

Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. После этого вирус заражает файлы:

.exe
.lnk
Для ".lnk" – заражаются бинарные файлы, соответствующие данному ярлыку. Заражение, в первую очередь, выполняется в следующих каталогах:
%UserProfile%\Рабочий стол\
%UserProfile%\Главное меню\Программы\
Также заражение файлов выполняется на локальных, сетевых и съемных дисках.

Для сокрытия своей работы удаляет файлы:

%UserProfile%\Cookies\
Вредонос снижает уровень настроек безопасности браузера Internet Explorer, изменив настройки зон безопасности:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\0]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\1]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\2]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\3]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\4]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
Таким образом, вирус отключает уведомления, изменяет доступ к данным при посещении веб-узлов и разрешает обновление строки состояния в сценариях. Для кражи паролей и учетных записей пользователя из программы FileZilla анализирует файл программы с именем "sitemanager.xml".
%AppData%\FileZilla\sitemanager.xml
Собирает информацию о сертификатах, находящихся в хранилище сертификатов компьютера пользователя.

Для похищения сохраненных паролей браузера Internet Explorer анализирует следующий ключ системного реестра:

[HKCU\Software\Microsoft\Internet Explorer\IntelliForms\
torage2]
Для похищения данных об учетных записях программы Outlook Express анализирует данные в защищенном хранилище (Protected Storage). Похищенные данные вирус сохраняет в одном из следующих файлов в зашифрованном виде:
%UserProfile%\Local Settings\Application Data\hahhajgb18.nls
%UserProfile%\Local Settings\Application Data\kf18lz32.dll
%UserProfile%\Local Settings\Application Data\wsr18zt32.dll
%UserProfile%\Local Settings\Application Data\dfl18z32.dll
Если на компьютере пользователя установлена программа Mozilla Firefox, то вирус создает расширение для этой программы, с помощью которого отправляет похищенные данные на следующие адреса:
gan***roup.net
kevl***guard.ru
xra***gometer.org
karavja***akistan.net
vahha***yte.ru
ijmas***unschk.ru
lybi***izovernet.biz
fukushim***tom.ru
pash***ers600.ru
fair***ilpigz.biz
а также понижает настройки безопасности браузера, для чего создает файлы:
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
Файл имеет размер 307 байт.
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf
Файл имеет размер 881 байт.
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js
Файл имеет размер 4152 байта.
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar
Файл имеет размер 8234 байта. Отправляет запрос вида:
POST <URL> HTTP/1.1
User-Agent: Mozilla/4.1
(compatible; MSIE 18; <версия ОС>-
<серийный номер тома>.<локаль>.<ProductID>)
На один из следующих URL адресов, а также производных от этих адресов, которые вредонос генерирует автоматически:
ca***ing.cc
vir***st.com
av***ck.ru
www.vi***est.com
www.a***eck.ru
gekta***omarenda.ru
a***eck.biz
ga***roup.com
ca***ing.cc
av***ck.ru
licens***olicy2012.ru
www.av***eck.biz
ganz***oup.in
ca***ing.cc
direct***nection.ws
ca***ing.cc
www.av***eck.biz
antivira***stlist.biz
lowlo***asting.ru
xver***ed.ru
www1.h***bc.ca
kgbre***club.ru
kido***ank.ru
sam***dka-ww3.ru
gron***anets.ru
В ответ в зашифрованном виде может получать другие вредоносные файлы, которые сохраняет во временный каталог браузера Internet Explorer:
%Temporary Internet Files%\
Вирус может запускать их на исполнение или, проверяя дату создания файла, если она совпала с датой прописанной в вирусе, может сохранять файл под именем:
%\Documents and Settings%\All Users\Application Data\
p<u>_<u>.dll
Где <u> - случайный набор цифр, например,"18_60447406" После сохранения подгружает библиотеку в свое адресное пространство и вызывает из нее функции "U" или "V". После использования удаляет библиотеку.
Категория: Malware | Просмотров: 1229 | Добавил: sepos | Теги: Virus.Win32. Expiro.w | Рейтинг: 5.0/1
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Календарь
«  Июнь 2011  »
Пн Вт Ср Чт Пт Сб Вс
  12345
6789101112
13141516171819
20212223242526
27282930

Архив

Друзья
Юридические услуги. Представительство в судах. Возврат долгов. Все о FreeBSD и прочих UNIX-like операционных системах Чоткие загрузки для успешных пацанов WE SELL LOADS SMS сервис для Вашего Бизнеса Единая база кидал Elite VPN Black SEO Hash Resolver Каталог сайтов OpenLinks.RU 495ru.ru, Доски объявлений, бесплатные объявления, дать объявление в интернет, подать объявление бесплатно
  • Место для вашей рекламы

  • //-->


    Copyright Hack and Secure Team © 2026