PE_EXPIRO.JX-O

如需此「間諜程式」的快速全面一覽，請參閱下面的「安全威脅圖表」。

它可能是由其他恶意软件从远程网站下载而来。

它感染文件的方法是：覆盖入口点中的代码并将被覆盖的代码保存在病毒体中，然后将病毒体附加到主机文件中。

它会从系统和/或用户窃取特定信息。

新病毒详细信息

它可能是由远程网站的下列恶意软件下载而来：

• JAVA_EXPLOIT.ZC
• TROJ_PIDIEF.JXM

安装

它添加下列互斥条目，确保一次只会运行一个副本：

• kkq-vx-mtx{random-number}

文件感染

它感染文件的方法是：覆盖入口点中的代码并将被覆盖的代码保存在病毒体中，然后将病毒体附加到主机文件中。

它在下列文件夹中搜索目标文件：

• {folder where malware is installed}
• %Start Menu%
• All available drives

(注意: %Start Menu% 是当前用户的「开始」菜单文件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu (Windows NT) 以及 C:\Windows\Start Menu 或 C:\Documents and Settings\{User name}\「开始」菜单 (Windows 2000、XP 和 Server 2003)。)

信息窃取

它会窃取以下信息:

• Windows Product ID
• Drive Volume Serial Number
• OS Version
• User credentials
• FileZilla Information

窃取信息

被窃取的信息保存在下列文件中:

• %Application Data%\wsr18zt32.dll

(注意: %Application Data% 是当前用户的 Application Data 文件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它通过 HTTP POST 将收集的信息发送到下列 URL：

• {BLOCKED}romarenda.ru
• {BLOCKED}on-oriental.ru
• {BLOCKED}na-rukave.org
• {BLOCKED}izneonet.biz
• {BLOCKED}etails555.biz
• {BLOCKED}-govsvc.ru
• {BLOCKED}ydyg.ru
• {BLOCKED}ugin.com
• {BLOCKED}ikav.com
• {BLOCKED}aquh.ru
• {BLOCKED}etop.com
• {BLOCKED}outhoffshore.com
• {BLOCKED}latker.ru
• {BLOCKED}job.ru
• {BLOCKED}gunszavod.ru
• {BLOCKED}vostok.ws
• {BLOCKED}op-ultras.org
• {BLOCKED}kygay-formula.in
• {BLOCKED}xxlub.ru
• {BLOCKED}adshop.ru
• {BLOCKED}rtal-2016.ru
• {BLOCKED}rc-usb33bit.com
• {BLOCKED}ers50.ru
• {BLOCKED}ka-ww2.ru
• {BLOCKED}-beavis.ru
• {BLOCKED}-from-iran.net
• {BLOCKED}ur.ru
• {BLOCKED}llusionist.com
• {BLOCKED}llusionist.net
• www.{BLOCKED}vrc-usb33bit.com