PE_EXPIRO.JX
Trojan:Win32/Meredrop (Microsoft); W32.Xpiro.D (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
File infector
Destructif:
Non
Chiffrement:
Oui
In the wild::
Oui
Overview
Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.
Stiehlt bestimmte Daten vom System und/oder dem Benutzer.
D¨¦tails techniques
Installation
F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:
- kkq-{random number}-mtx{random-number}
Dateiinfektion
Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.
Sucht in den folgenden Ordnern nach Zieldateien:
- Current Directory
- %Start Menu%
- All available drive
(Hinweis: %Start Menu% ist der Ordner 'Startmen¨¹' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹ unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹ unter Windows NT und C:\Windows\Startmen¨¹ oder C:\Dokumente und Einstellungen\{Benutzername}\Startmen¨¹ unter Windows 2000, XP und Server 2003.)
Dies ist die Erkennung von live casino online f¨¹r Dateien, die mit infiziert wurden:
- PE_EXPIRO.JX
Datendiebstahl
Stiehlt folgende Daten:
- Windows Product ID
- Drive Volume Serial Number
- OS Version
- User credentials
- FileZilla Information
Entwendete Daten
Die entwendeten Informationen werden in der folgenden Datei gespeichert:
- %Application Data%\{random filename}.dll
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:
- {BLOCKED}romarenda.ru
- {BLOCKED}on-oriental.ru
- {BLOCKED}na-rukave.org
- {BLOCKED}izneonet.biz
- {BLOCKED}etails555.biz
- {BLOCKED}-govsvc.ru
- {BLOCKED}ydyg.ru
- {BLOCKED}ugin.com
- {BLOCKED}ikav.com
- {BLOCKED}aquh.ru
- {BLOCKED}etop.com
- {BLOCKED}outhoffshore.com
- {BLOCKED}latker.ru
- {BLOCKED}job.ru
- {BLOCKED}gunszavod.ru
- {BLOCKED}vostok.ws
- {BLOCKED}op-ultras.org
- {BLOCKED}kygay-formula.in
- {BLOCKED}xxlub.ru
- {BLOCKED}adshop.ru
- {BLOCKED}rtal-2016.ru
- {BLOCKED}rc-usb33bit.com
- {BLOCKED}ers50.ru
- {BLOCKED}ka-ww2.ru
- {BLOCKED}-beavis.ru
- {BLOCKED}-from-iran.net
- {BLOCKED}ur.ru
- {BLOCKED}llusionist.com
- {BLOCKED}llusionist.net
- www.{BLOCKED}vrc-usb33bit.com
Solutions
Step 1
F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Diese Datei suchen und l?schen
- %Application Data%\wsr28zt32.dll
Step 3
Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als PE_EXPIRO.JX entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.
Participez ¨¤ notre enqu¨ºte!