PE_EXPIRO.WA

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、エントリポイントのコードを上書きして、ウイルス本体に上書きしたコードを保存することにより感染活動を実行します。そして、ウイルスは、ホストファイルにウイルス本体を追記してファイル感染します。

ウイルスは、特定のWebサイトにアクセスし、情報を送受信します。

ウイルスは、感染コンピュータや感染ユーザから特定の情報を収集します。

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• kkq-vx-mtx{number}
• gazavat-svc

ファイル感染

ウイルスは、エントリポイントのコードを上書きして、ウイルス本体に上書きしたコードを保存することにより感染活動を実行します。そして、ウイルスは、ホストファイルにウイルス本体を追記してファイル感染します。

バックドア活動

ウイルスは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}k.biz
• {BLOCKED}k.ru
• {BLOCKED}ys.com
• {BLOCKED}g.cc
• {BLOCKED}connection.ws
• {BLOCKED}planets.ru
• {BLOCKED}axclub.ru
• {BLOCKED}bank.ru
• {BLOCKED}romhugewar.ru
• {BLOCKED}liketervana.com
• {BLOCKED}t.com
• www.{BLOCKED}k.ru
• www.{BLOCKED}kx2011.ru
• www.{BLOCKED}g.cc
• www.{BLOCKED}connection.ws
• www.{BLOCKED}tianbank.ca
• www.{BLOCKED}t.com
• www1.{BLOCKED}c.ca

情報漏えい

ウイルスは、以下の情報を収集します。

• Windows Product ID
• Drive Volume Serial Number
• OS Version
• User credentials
• Information from Filezilla

情報収集

ウイルスは、以下のファイル内に収集した情報を保存します。

• %Application Data%\wsr18zt32.dll

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)