Описание Virus.Win32.Expiro.w

Попался мне в руки интересный заражённый файл Virus.Win32.Expiro.w.

Зловред оказался довольно вирулентным и за довольно короткий срок заразил не только исполняемые файлы на локальных дисках, но потянулся и к исполняемым файлам на сетевых папках и съемных носителях.

Отметился он и в изменении настроек зон безопасности Internet Explorer:

  • Разрешать META REFRESH * ^ 1609
  • Разрешить запущенные сценарием окна без ограничений размеров и положения ** ^ 2103
  • 
    RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegCreateKeyEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]
     RegSetValueEx(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2103, REG_DWORD: 0) [c:\documents and settings\е\Ра л\notepad.exe]

    Создаёт следующие ключи реестра:

    RegOpenKeyEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup) [c:\documents and settings\е\Ра л\notepad.exe]
    RegCreateKeyEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup,(null)) [c:\documents and settings\е\Ра л\notepad.exe]
    RegSetValueEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\IExploreLastModifiedLow, REG_DWORD: 1206403317) [c:\documents and settings\е\Ра л\notepad.exe]
    RegSetValueEx(HKLM\SOFTWARE\Microsoft\Internet Explorer\Setup\IExploreLastModifiedHigh, REG_DWORD: 30141820) [c:\documents and settings\е\Ра л\notepad.exe]
    Особенное, на чем можно заострить внимание, так это на механизме заражения исполняемых файлов.Зловред не умеет заражать файлы "на лету", в начале он создает копию файла с расширением *.vir, а после копирует эту копию на место оригинального файла с исправлением расширения, приблизительно так:notepad.exe => notepad.vir => notepad.exe
    
    CreateFile(C:\WINDOWS\system32\notepad.vir) [c:\documents and settings\е\Ра л\notepad.exe]
    Copy(C:\WINDOWS\system32\notepad.vir->C:\WINDOWS\system32\notepad.exe) [c:\documents and settings\е\Ра л\notepad.exe]
    CreateFile(C:\WINDOWS\system32\tourstart.vir) [c:\documents and settings\е\Ра л\notepad.exe]
    Copy(C:\WINDOWS\system32\tourstart.vir->C:\WINDOWS\system32\tourstart.exe) [c:\documents and settings\е\Ра л\notepad.exe]
    CreateFile(C:\WINDOWS\system32\cmd.vir) [c:\documents and settings\е\Ра л\notepad.exe]
    Copy(C:\WINDOWS\system32\cmd.vir->C:\WINDOWS\system32\cmd.exe) [c:\documents and settings\е\Ра л\notepad.exe]
    CreateFile(C:\WINDOWS\explorer.vir) [c:\documents and settings\е\Ра л\notepad.exe]
    Copy(C:\WINDOWS\explorer.vir->C:\WINDOWS\explorer.exe) [c:\documents and settings\е\Ра л\notepad.exe]
    ___________________________________________________________________________________
    Для лечения от этого зловреда необходимо выполнить следующие рекомендации:
    ___________________________________________________________________________________Если вы можете дополнить данное описание, прошу отписываться в комментариях.
  • 0
  • 06 июня 2011, 14:23
  • akok
  • 0

Комментарии (4)

RSS свернуть / развернуть
+
+1
А где его взять чтоб дополнить описание?
avatar

Enlil

  • 06 июня 2011, 18:47
+
+1
Провести лечение файлового вируса
Восстановить настройки зон безопасности Internet Explorer
Это тоже должно быть в статье. А то получается нечто среднее между нормальной статьёй и топик-ссылкой.
avatar

conlied_mx

  • 06 июня 2011, 18:58
+
+1
Не хватает описания последствий:
а) В результате изменения зон безопасности мы наблюдаем
б) В результате заражения исполняемого файла при запуске наблюдается
в)…
Ну и собственно в описании мало интересного, куча параметров реестра и одно упоминание о способе замены vir. Пишите еще.
avatar

strat

  • 06 июня 2011, 19:11
+
0
Обязательно. Спасибо за критику.
avatar

akok

  • 07 июня 2011, 09:37

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.