Trojan:Win32/Meredrop (Microsoft); W32.Xpiro.D (Symantec)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    File infector

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware, Infiziert Dateien

Um einen ?berblick ¨¹ber das Verhalten dieser File infector zu erhalten, verwenden Sie das unten gezeigte Bedrohungsdiagramm.

Wird m?glicherweise von anderer Malware von Remote-Sites heruntergeladen:

Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.

Stiehlt bestimmte Daten vom System und/oder dem Benutzer.

  D¨¦tails techniques

File size: 547,328 bytes
File type: EXE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 05 juillet 2013
Charge malveillante: Steals information, Connects to URLs/IPs

?bertragungsdetails

Wird m?glicherweise von der folgender Malware von Remote-Sites heruntergeladen:

  • JAVA_EXPLOIT.ZC
  • TROJ_PIDIEF.JXM

Installation

F¨¹gt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgef¨¹hrt wird:

  • kkq-vx-mtx{random-number}

Dateiinfektion

Infiziert Dateien dadurch, das Code im Einstiegspunkt ¨¹berschrieben und der ¨¹berschriebene Code im Virus selbst gespeichert wird. Anschlie?end wird der Virus an die Hostdatei angeh?ngt.

Sucht in den folgenden Ordnern nach Zieldateien:

  • {folder where malware is installed}
  • %Start Menu%
  • All available drives

(Hinweis: %Start Menu% ist der Ordner 'Startmen¨¹' des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername}\Startmen¨¹ unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Startmen¨¹ unter Windows NT und C:\Windows\Startmen¨¹ oder C:\Dokumente und Einstellungen\{Benutzername}\Startmen¨¹ unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Stiehlt folgende Daten:

  • Windows Product ID
  • Drive Volume Serial Number
  • OS Version
  • User credentials
  • FileZilla Information

Entwendete Daten

Die entwendeten Informationen werden in der folgenden Datei gespeichert:

  • %Application Data%\wsr18zt32.dll

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

  • {BLOCKED}romarenda.ru
  • {BLOCKED}on-oriental.ru
  • {BLOCKED}na-rukave.org
  • {BLOCKED}izneonet.biz
  • {BLOCKED}etails555.biz
  • {BLOCKED}-govsvc.ru
  • {BLOCKED}ydyg.ru
  • {BLOCKED}ugin.com
  • {BLOCKED}ikav.com
  • {BLOCKED}aquh.ru
  • {BLOCKED}etop.com
  • {BLOCKED}outhoffshore.com
  • {BLOCKED}latker.ru
  • {BLOCKED}job.ru
  • {BLOCKED}gunszavod.ru
  • {BLOCKED}vostok.ws
  • {BLOCKED}op-ultras.org
  • {BLOCKED}kygay-formula.in
  • {BLOCKED}xxlub.ru
  • {BLOCKED}adshop.ru
  • {BLOCKED}rtal-2016.ru
  • {BLOCKED}rc-usb33bit.com
  • {BLOCKED}ers50.ru
  • {BLOCKED}ka-ww2.ru
  • {BLOCKED}-beavis.ru
  • {BLOCKED}-from-iran.net
  • {BLOCKED}ur.ru
  • {BLOCKED}llusionist.com
  • {BLOCKED}llusionist.net
  • www.{BLOCKED}vrc-usb33bit.com

  Solutions

Moteur de scan minimum: 9.300
VSAPI OPR Pattern Version: 10.143.00
VSAPI OPR Pattern Release Date: 08 juillet 2013

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von PE_EXPIRO.JX-O