Mindent beleadtak az Expiro vírus készítői

Az Expiro.I vírus készítői nem bántak szűkmarkúan a kártékony programjukba épített funkciókkal, aminek révén az komoly károkat képes okozni, és bizalmas adatok kiszivárgásához is hozzájárulhat.

Az Expiro.I vírus a legnagyobb károkat azzal tudja okozni, hogy a számítógépeken megfertőzi az EXE kiterjesztésű állományokat, amelyekhez a saját kódját fűzi hozzá. Ezzel próbálja elérni, hogy minél több számítógépre tudjon felkerülni az áldozatául esett állományok révén. Ugyanakkor egyes esetekben alkalmazásokat is használhatatlanná tehet.

Az Isidor Biztonsági Központ közleményéből kiderül, hogy az Expiro.I nemcsak fájlok manipulálásából veszi ki a részét, hanem adatlopásból is. Rendszerinformációkat valamint különböző szoftverek (például FileZilla, Internet Explorer, stb.) által elmentett felhasználóneveket és jelszavakat szivárogtat ki.

Az Expiro.I további feladataként egy hátsó kaput nyit a fertőzött rendszereken, amelyen keresztül a támadók az alábbi tevékenységeket kezdeményezhetik:
- antivírus alkalmazások hatástalanítása
- a vírushoz tartozó folyamatok leállítása
- további kártékony kódok letöltése
- felhasználói adatok eltulajdonítása.

Amikor az Expiro.I vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz számos mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

2. Megfertőz minden exe kiterjesztésű állományt, amelyek vagy szolgáltatásokhoz tartoznak, vagy az alábbi mappákban találhatók:
%Program Files%
%Start Menu%
%Applications Data%

Azokat az EXE állományokat sem hagyja érintetlenül, amelyekre hivatkozások (LNK állományok) mutatnak. Egyes esetekben pedig a C-Z betűjelű meghajtókon található összes írható, EXE fájlt megfertőzi a saját kódjával.

3. Az általa megfertőzött állományokból készít egy-egy másolatot .ivr kiterjesztéssel.

4. Kikapcsolja a Windows File Protection funkciót.

5. Bizalmas adatokat igyekszik eltulajdonítani az alábbi alkalmazásokból:
FileZilla
Windows Protected Storage
Internet Explorer

6. Az összegyűjtött adatokat a következő állományokba menti le:
%localappdata%/kf[...]z32.dll
%localappdata%/dfl[...]z32.dll
%localappdata%/wsr[...]zt32.dll
%localappdata%/[...].nls
%appdata%/p_[...].dll

7. Nyit egy hátsó kaput a fertőzött rendszereken.

8. Várakozik a támadók parancsaira.

9. Kiszivárogtatja az alábbi rendszerinformációkat:
- operációs rendszer verziója
- Windows termékazonosító
- merevlemezek szériaszáma

10. Feltelepít egy Firefox bővítményt, majd webes átirányításokat végez.

11. Manipulálja az Internet Explorer biztonsági beállításait a regisztrációs adatbázis alábbi kulcsaiban található bejegyzések módosításával:
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/1
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/2
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/4

A hír megjelenését a Biztonságportál támogatta.