Меню

Укр Рус

Virus.Expiro.Win32.19

Виды вредоносных программ:
Virus.Expiro.Win32.19

Virus.Win32.Expiro.19  – файловый  вирус, заражающий исполняемые Windows Exe файлы. Объединяет  функциональность вируса, троянской программы и Backdoor.

Методы распространения 

Заражает исполняемые файлы на всех доступных для записи локальных, сетевых и съемных дисках.
 Для быстрого размножения, вначале заражает EXE-файлы, на которые ссылаются ярлыки (LNK) , а  также EXE-файлы, которые зарегистрированы в качестве сервисов.
Во вторую очередь заражаются файлы, находящиеся на рабочем столе,  в папке "Программы" меню "Пуск", а потом уже все остальные.

Технические особенности

Заражает исполняемые файлы на всех доступных для записи локальных, сетевых и съемных дисках.
Для заражения системных сервисов, изменяет в реестре режим запуска службы с “автоматического” на “ручной”, после перезагрузки компьютера  заражает службу и перезапускает ее.
Вирус также отключает защиту файлов Windows, чтобы заразить защищенные файлы.
Понижает настройки безопасности для браузеров Internet Explorer и Firefox , что позволяет загружать через них вредоносное программное обеспечение.
Для браузера Firefox устанавливает ррасширение, которое перенаправляет пользователя на указанные в вирусе сайты.
Для контроля своего присутствия в системе, создает уникальные Mutex (kkq-vx_mtx (номер), Газават-SVC, Газават-svc_<номер>), которые используются для предотвращения многократного запуска вируса на одном компьютере.

Написан на С++, имеет рразмер 110592 Байт.

При заражении добавляет в конец файла секцию с именем .UPX0, куда помещает своё тело.
Точка входа (Entry point) не изменяется, для того чтобы код вируса получил управление, он заменяет по точке входа блок кода, рразмером в 493 байта.

Деструктивные возможности

  • Заражает исполняемые файлы.
  • Пытается скачать из сети Internet и инсталлировать в систему вредоносное программное обеспечение
  • Крадёт логины и пароли для Outlook и FileZilla
  • Крадёт установленные сертификаты
  • Крадёт пароли, сохранённые в Windows Protected Storage
  • Крадёт пароли,  которые пользователи вводят в разных окнах, например, в Internet Explorer
  • Может подключиться к серверу и получать команды от удаленного злоумышленника.
© 2009 - 2024 Zillya! Антивірус. Все права защищены. Использование материалов сайта без ссылки на первоисточник запрещено
Политика конфиденциальности
Публичный договор-оферта
i
О компании
Киберграмотность
Курсы инфобезопасности Публикации Вирусная энциклопедия
Служба поддержки
+38 (044) 334 4020