PE_EXPIRO.AC

Este malware infecta archivos sobrescribiendo el código del punto de entrada y guardándolo en el cuerpo del virus. A continuación anexa el cuerpo del virus al archivo host. Este malware crea un marcador de la infección en los archivos infectados.

Se conecta a un sitio Web para enviar y recibir información.

Modifica la configuración de seguridad de Internet Explorer. Esto pone en gran peligro el equipo afectado, puesto que permite que acceda a URL maliciosas. Este malware modifica la configuración de zona de Internet Explorer.

Roba determinada información del sistema y/o del usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %Application Data%\{Volume serial of system folder}{number}.nls - non-malicious

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• kkq-vx-mtx{number}

Infección de archivo

Infecta los siguientes tipos de archivo:

• .EXE

Infecta los tipos de archivo siguientes en las redes compartidas para garantizar su propagación:

• .EXE

Este malware infecta archivos sobrescribiendo el código del punto de entrada y guardándolo en el cuerpo del virus. A continuación anexa el cuerpo del virus al archivo host.

Este malware crea un marcador de la infección en los archivos infectados.

Propagación

Este malware infecta archivos del/de los siguiente(s) tipo(s) de las redes compartidas, asegurando su propagación a lo largo de la red:

• .EXE

Rutina de puerta trasera

Abre los puertos siguientes:

• TCP Port 2000
• TCP Port 2068

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}vsah-ebe.com
• {BLOCKED}u-liwup.org
• {BLOCKED}robybi.ru
• {BLOCKED}wi-uhexy.ru
• {BLOCKED}dyjemi.in
• {BLOCKED}urtepbiwa.org
• {BLOCKED}ajjebyto.com
• {BLOCKED}-oxona.biz
• {BLOCKED}hediso.cc
• {BLOCKED}jesi-ifo.ws
• {BLOCKED}u-uwy.cc
• {BLOCKED}fnikuxy.ru
• {BLOCKED}emyzy.cc
• {BLOCKED}ahezy.ru
• {BLOCKED}oxanvy.org
• {BLOCKED}syxuvnok.cc
• {BLOCKED}de-mu.org
• {BLOCKED}nuqivetac.ru
• {BLOCKED}nnitcyli.ru
• {BLOCKED}eveqefuc.com
• {BLOCKED}i-eji.ws
• {BLOCKED}arlu-woqhab.net

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Agrega las siguientes entradas y líneas al archivo SYSTEM.INI para permitir su ejecución automática cada vez que se inicia el sistema: $$DATA$$

Este malware modifica la configuración de zona de Internet Explorer.

Robo de información

Roba la siguiente información:

• Windows Product ID
• Drive Volume Serial Number
• OS Version
• User credentials
• Information from Filezilla

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %Application Data%\kf{random number}z32.dl
• %Application Data%\dfl{random number}z32.dll
• %Application Data%\wsr{random number}zt32.dll

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).