Win32.Expiro / W32.Xpiro : virus infecteur

Choppé par  un exploit WEB : http://malwaredb.malekal.com/index.php?hash=9f5f1f12ace4c545f81d7e7c35125b6f

https://www.virustotal.com/fr/file/266255405340d2a84224d6c127e26aa79d6d87f4367ab274a41bf135fc82e06b/analysis/1368988659/

SHA256: 266255405340d2a84224d6c127e26aa79d6d87f4367ab274a41bf135fc82e06b
Nom du fichier : temp.exe
Ratio de détection : 9 / 47
Date d’analyse : 2013-05-19 18:37:39 UTC (il y a 0 minute)

AVG Inject.NZS 20130519
ESET-NOD32 a variant of Win32/Injector.AFKU 20130519
Kaspersky P2P-Worm.Win32.Palevo.haxc 20130519
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130506
Microsoft VirTool:Win32/VBInject.gen!IK 20130519
Norman Inject.AQTC 20130519
Panda Suspicious file 20130519
Sophos Troj/Agent-ABUV 20130519
VBA32 Worm.VBNA 20130518

Virus_Expiro_Virus_Xpiro_virustotal

Win32.Expiro / W32.Xpiro est un virus a proprement parlé, c’est à dire qu’il infecte les exécutables.
Il suffit d’un seul fichier infecté résiduel pour que le malware réinfecte tous les autres executables du système.

Contrairement à Virut ou Ramnit – Expiro ne masque pas les dates de modifications des exécutables qu’ils infectent.

Ci-dessous, une capture de fichiers infectés dans le dossier system32 avec une date de modification récente.
Virus_Expiro_Virus_Xpiro2

Voici un exemple de détection : https://www.virustotal.com/fr/file/217039a3381806d68d0e406baa50d5640586264d09cdb1986e6bae3386f9e10a/analysis/

SHA256: 217039a3381806d68d0e406baa50d5640586264d09cdb1986e6bae3386f9e10a
Nom du fichier : freecell
Ratio de détection : 24 / 47
Date d’analyse : 2013-05-19 18:29:09 UTC (il y a 10 minutes)

AhnLab-V3 Win32/Expiro4.Gen 20130519
AntiVir W32/Infector.Gen8 20130519
BitDefender Gen:Trojan.Heur.pq0@ue9Xtli 20130519
CAT-QuickHeal W32.Expiro.AX 20130518
Comodo Virus.Win32.Expiro.lot 20130519
Emsisoft Gen:Trojan.Heur.pq0@ue9Xtli (B) 20130519
ESET-NOD32 Win32/Expiro.NAP 20130519
F-Secure Gen:Trojan.Heur.pq0@ue9Xtli 20130519
GData Gen:Trojan.Heur.pq0@ue9Xtli 20130519
Ikarus Virus.Win32.Expiro 20130519
Kaspersky Virus.Win32.Expiro.ao 20130519
McAfee W32/Expiro.gen.n 20130519
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.J!89 20130519
MicroWorld-eScan Gen:Trojan.Heur.pq0@ue9Xtli 20130519
NANO-Antivirus Virus.Win32.Gen-Crypt.ccnc 20130519
Norman Expiro.YG 20130519
Panda W32/Expiro.gen 20130519
PCTools Malware.Xpiro 20130519
Rising Win32.Expiro.v 20130517
Sophos Mal/FakeAV-OP 20130519
Symantec W32.Xpiro.D 20130519
TrendMicro PE_EXPIRO.ZZ 20130519
TrendMicro-HouseCall PE_EXPIRO.ZZ 20130519
VBA32  20130518
VIPRE Virus.Win32.Expiro.gen.a (v) 20130519

A noter que ce dernier créé aussi des fichiers .dll et un fichier .nls avec des noms aléatoires dans le dossier %localappdata% Virus_Expiro_Virus_Xpiro

J’ai tenté Kaspersky Removal tools (si vous vérifiez les détections, plus haut, Kaspersky le détecte).
Avant d’effectuer une désinfection, sauvegardez vos documents importants.

Lors de l’alerte, choisir Oui executer puis ensuite faire Réparer sur les fichiers détectés. Virus_Expiro_Virus_Xpiro3
Il peux arriver que Kaspersky Removal Tool ne parvienne pas à réparer le fichier, faire alors suppression.
Cela peux être génant dans le cas d’un fichier système, mais ces derniers peuvent être restaurés par Windows au démarrage.
Dans tous les cas, je me répète, faites une sauvegarde de vos documents importants.
Virus_Expiro_Virus_Xpiro4

Dans mon cas, Kaspersky removal tool est parvenu à désinfecter le système.
Celle-ci n’étant plus active, il est fortement conseillé de faire un scan complet afin de laisser aucun executable infecté qui, si vous l’executez par la suite, peux réinfecter le système.
Si la désinfection ne fonctionne pas, vous pouvez tenter le CD Live Kaspersky, sinon malheureusement formater en ne gardant aucun executable!

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 96 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *