NUEVA VARIANTE DE VIRUS INFECTOR EXPIRO: INFECTA EXES Y ROBA CONTRASEÑAS

Un nuevo engendro de la vieja escuela (virus infector de ejecutables) ha aparecido e infectado todos los ejecutables del ordenador afectado
Con el VirusScan de McAfee se han detectado e inicialmente puesto en cuarentena, y una vez nos los han enviado y analizado, se ha visto que podían ser limpiados con el actual VirusScan.

El preanalisis de virustotal sobre ficheros infectados, ofrece el siguiente informe:

SHA256: db6001b253490877ea4ac1253f5f57f7ab16468389267a3b0512148430dfb99d
SHA1: 7c6f81af7f53d1a7e1e9b2fa91aa688fb8acef87
MD5: d7ac95587a2f2663c1acf7eeb2719ead
Tamaño: 576.0 KB ( 589824 bytes )
Nombre: wmplayer.exe
Tipo: Win32 EXE
Detecciones: 32 / 47
Fecha de análisis: 2013-07-17 09:20:53 UTC ( hace 0 minutos )

0 1 Más detalles Análisis File detail Información adicional Comentarios Votos
Antivirus Resultado Actualización
Agnitum  20130716
AhnLab-V3  20130716
AntiVir W32/Infector.Gen8 20130717
Antiy-AVL  20130717
Avast Win32:Expiro-CE 20130717
AVG Win32/Expiro 20130717
BitDefender Win32.Expiro.BF 20130717
ByteHero  20130613
CAT-QuickHeal  20130717
ClamAV  20130717
Commtouch W32/Expiro.AP 20130717
Comodo Virus.Win32.Expiro.isn 20130717
DrWeb Win32.Expiro.56 20130717
Emsisoft Win32.Expiro.BF (B) 20130717
eSafe  20130714
ESET-NOD32 Win32/Expiro.NBF 20130717
F-Prot W32/Expiro.AP 20130717
F-Secure Win32.Expiro.BF 20130717
Fortinet W32/Expiro.NAP 20130717
GData Win32.Expiro.BF 20130717
Ikarus Virus.Win32.Expiro 20130717
Jiangmin  20130717
K7AntiVirus Virus 20130716
K7GW Virus 20130716
Kaspersky Virus.Win32.Expiro.ai 20130717
Kingsoft  20130708
Malwarebytes Trojan.FakeMS 20130717
McAfee W32/Expiro.gen.o 20130717
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.J!89 20130717
Microsoft Virus:Win32/Expiro.BP 20130717
MicroWorld-eScan  20130717
NANO-Antivirus Virus.Win32.Expiro.bxhdrv 20130717
Norman Expiro.YG 20130716
nProtect Win32.Expiro.BF 20130717
Panda W32/Expiro.gen 20130716
PCTools Malware.Xpiro 20130717
Rising  20130717
Sophos W32/Expiro-H 20130717
SUPERAntiSpyware  20130716
Symantec W32.Xpiro.D 20130717
TheHacker  20130715
TotalDefense Win32/Expiro.T 20130717
TrendMicro PE_EXPIRO.JX 20130717
TrendMicro-HouseCall PE_EXPIRO.JX 20130717
VBA32  20130717
VIPRE Virus.Win32.Expiro.gen.a (v) 20130717
ViRobot  20130717
El VirusScan con el que se han podido detectar y limpiar dichos ficheros infectados ha sido v8.8 patch 2 (o 3 con windows8) motor 5400.1158 con DAT 7138

saludos

17-7-2013
_________
Mas info de Microsoft al respecto:
Virus:Win32/Expiro

——————————————————————————–

Virus:Win32/Expiro es un virus que infecta archivos que podría permitir el acceso de puerta trasera y control del ordenador y robar sus nombres de usuario almacenados y contraseñas.
——————————————————————————–
Virus:Win32/Expiro se caracteriza por infectar todos los archivos EXE encontrados unidades C a Z. Infecta archivos añadiendo código a los archivos de blanco. Crea una copia temporal del archivo infectado con el mismo nombre pero con la extensión VIR; por ejemplo, si este virus infecta el archivo “notepad.exe”, entonces puede crear una copia infectada como “notepad.vir”, que eventualmente se renombra a “notepad.exe”.

Desactiva la Windows File Protection para infectar archivos protegidos. También enumera los servicios que se están ejecutando en su computadora e infecta los ejecutables.

Desactiva el software de seguridad :

Virus:Win32/Expiro intenta cerrar los siguientes servicios y programas:

•Wscsvc – Windows Security Center de servicios
•WinDefend – servicio de Windows Defender
•NisSrv – servicio de Network Inspection
•MsMpSvc – servicio de Microsoft Protection
•MSASCui – programa de Windows Defender
•MsSecEs.exe – programa de Microsoft Security Essentials
•TCPView – Network Traffic Viewer por Sysinternals
También puede desinstalar el software antivirus que se encuentra en la carpeta “%ProgramFiles%\Microsoft Security Client”.

Roba información confidencial

Virus:Win32/Expiro recoge la siguiente información confidencial:

•Certificados instalados
•Contraseñas almacenadas por FileZilla
•Credenciales almacenadas por Windows Protected Storage
•Credenciales introducidas por los usuarios en diferentes ventanas, por ejemplo, en Internet Explorer
•Todas las entradas de autocompletar almacenadas por Internet Explorer dentro de HKCU\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Pueden registrar los datos robados en “%AppData%\p<number>_<number>.dll”.

Permite el control y acceso de puerta trasera

Virus:Win32/Expiro puede conectarse a los siguientes servidores a un atacante remoto acceder al ordenador:

•ebvtracking.cc
•febvtracking.cc
•grewz-platker.ru
•www1.hsbc.ca
•indirs-kemono.ws
•insecto-fiestar.ru
•kgbrelaxxlub.ru
•kidos-bank.ru
•kpz-coffestores.cc
•law-service2011.ru
•license-crewru.ru
•microavrc-com32bt.com
•navitelgeodbs.ru
•samohodka-ww2.ru
•verified.ru
Virus:Win32/Expiro.BA puede hacer lo siguiente:

•Subir la información recolectada
•Detener el proceso de malware
•Descargar y ejecutar otros programas maliciosos
Acceso al sitio web de redirecciones

Virus:Win32/Expiro puede instalar extensiones de Firefox y Google Chrome , que redirección el acceso de ciertos sitios a los siguientes servidores:

•gattling-firepower666.biz
•global-shariat2030.ru
•hlop-v-lob.ru
•ivan-tarakanov1975.org
•japan-flowersx343.net
•jopa-s-ushami.biz
•law-service2011.ru
•oil-sibtrans-gaz.ru
•sanitar-lesa.ru
•zionist-govt3000.com
Disminuye la seguridad de Internet Explorer

Virus:Win32/Expiro cambia ciertos ajustes de seguridad para Internet Explorer, permitiendo que el contenido no autorizado a ejecutar a través de todas las zonas de seguridad, haciendo los siguientes cambios en el registro:

En las subclaves:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
Allows content of mixed security to display across all zones
Establece el valor: “1609”
Datos: “0”
Allows status bar updates via scripts
Establece el valor: “2103”
Datos: “0”
Accesses data sources across domains
Establece el valor: “1406”
Datos: “0”

Información adicional
Virus:Win32/Expiro utiliza los siguientes mutex names para asegurarse de que se está ejecutando una copia activa de sí mismo en cualquier momento.

•kkq-vx_mtx< número incremental >
•gazavat-svc
•gazavat-svc_<number>
Analysis by Mihai Calota
——————————————————————————–
Síntomas
Cambios en el sistema
Los siguientes cambios de sistema pueden indicar la presencia de este malware:

•La presencia de archivos con la extensión VIR
•La configuración de Internet Explorer se han cambiado
•El programa antivirus puede dar vuelta apagado o no funcionando normalmente

Gravedad: Severa

Primero detectado en: 14 De agosto de 2012 Este artículo fue publicado por primera vez en: 14 De agosto de 2012
Este artículo fue actualizado en: 13 De marzo de 2013

También se detecta esta amenaza como:

W32/Expiro_gen.PG (Norman)
Virus found Win32/Expiro (AVG)
Virus.Win32.Expiro (Ikarus)
W32/Expiro.gen.o (McAfee)
Win32.Expiro.U (Rising AV)
W32/Expiro-H (Sophos)
W32.Xpiro.D (Symantec)
_________