Virus.Win32. Expiro.w

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл)

Вредоносная программа, заражающая файлы на компьютере пользователя. Является приложением Windows (PE-EXE файл). Размер тела вируса – 110592 байта. Написана на С++.


Деструктивная активность

Для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами:

gazavat-svc
gazavat-svc_18
kkq-vx_mtx<rnd1>
Где <rnd1> - числовое значение от 1 до 100.

Для автоматического запуска при каждой последующей загрузке Windows, вирус заражает исполняемые файлы, отвечающие за работу служб. После этого вирус заражает файлы:

.exe
.lnk
Для ".lnk" – заражаются бинарные файлы, соответствующие данному ярлыку. Заражение, в первую очередь, выполняется в следующих каталогах:
%UserProfile%\Рабочий стол\
%UserProfile%\Главное меню\Программы\
Также заражение файлов выполняется на локальных, сетевых и съемных дисках.

Для сокрытия своей работы удаляет файлы:

%UserProfile%\Cookies\
Вредонос снижает уровень настроек безопасности браузера Internet Explorer, изменив настройки зон безопасности:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\0]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\1]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\2]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\3]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
Zones\4]
"2103" = "0x0"
"1406" = "0x0"
"1609" = "0x0"
Таким образом, вирус отключает уведомления, изменяет доступ к данным при посещении веб-узлов и разрешает обновление строки состояния в сценариях. Для кражи паролей и учетных записей пользователя из программы FileZilla анализирует файл программы с именем "sitemanager.xml".
%AppData%\FileZilla\sitemanager.xml
Собирает информацию о сертификатах, находящихся в хранилище сертификатов компьютера пользователя.

Для похищения сохраненных паролей браузера Internet Explorer анализирует следующий ключ системного реестра:

[HKCU\Software\Microsoft\Internet Explorer\IntelliForms\
torage2]
Для похищения данных об учетных записях программы Outlook Express анализирует данные в защищенном хранилище (Protected Storage). Похищенные данные вирус сохраняет в одном из следующих файлов в зашифрованном виде:
%UserProfile%\Local Settings\Application Data\hahhajgb18.nls
%UserProfile%\Local Settings\Application Data\kf18lz32.dll
%UserProfile%\Local Settings\Application Data\wsr18zt32.dll
%UserProfile%\Local Settings\Application Data\dfl18z32.dll
Если на компьютере пользователя установлена программа Mozilla Firefox, то вирус создает расширение для этой программы, с помощью которого отправляет похищенные данные на следующие адреса:
gan***roup.net
kevl***guard.ru
xra***gometer.org
karavja***akistan.net
vahha***yte.ru
ijmas***unschk.ru
lybi***izovernet.biz
fukushim***tom.ru
pash***ers600.ru
fair***ilpigz.biz
а также понижает настройки безопасности браузера, для чего создает файлы:
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome.manifest
Файл имеет размер 307 байт.
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\install.rdf
Файл имеет размер 881 байт.
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js
Файл имеет размер 4152 байта.
%AppData%\Mozilla\Firefox\Profiles\
<каталог профиля пользователя>\extensions\
{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar
Файл имеет размер 8234 байта. Отправляет запрос вида:
POST <URL> HTTP/1.1
User-Agent: Mozilla/4.1
(compatible; MSIE 18; <версия ОС>-
<серийный номер тома>.<локаль>.<ProductID>)
На один из следующих URL адресов, а также производных от этих адресов, которые вредонос генерирует автоматически:
ca***ing.cc
vir***st.com
av***ck.ru
www.vi***est.com
www.a***eck.ru
gekta***omarenda.ru
a***eck.biz
ga***roup.com
ca***ing.cc
av***ck.ru
licens***olicy2012.ru
www.av***eck.biz
ganz***oup.in
ca***ing.cc
direct***nection.ws
ca***ing.cc
www.av***eck.biz
antivira***stlist.biz
lowlo***asting.ru
xver***ed.ru
www1.h***bc.ca
kgbre***club.ru
kido***ank.ru
sam***dka-ww3.ru
gron***anets.ru
В ответ в зашифрованном виде может получать другие вредоносные файлы, которые сохраняет во временный каталог браузера Internet Explorer:
%Temporary Internet Files%\
Вирус может запускать их на исполнение или, проверяя дату создания файла, если она совпала с датой прописанной в вирусе, может сохранять файл под именем:
%\Documents and Settings%\All Users\Application Data\
p<u>_<u>.dll
Где <u> - случайный набор цифр, например,"18_60447406" После сохранения подгружает библиотеку в свое адресное пространство и вызывает из нее функции "U" или "V". После использования удаляет библиотеку.