Virus:Win32/Expiro

What is Virus:Win32/Expiro?
Virus:Win32/Expiro is a backdoor-like malware that takes advantage of different programs

Virus:Win32/Expiro é uma detecção do Microsoft Defender que se refere a um malware com recursos de backdoor. Permite que invasores controlem o sistema comprometido, espionar isso, instalar outro malware, manipular sistemas, e criar botnets.

Este malware é distribuído sob o disfarce de software legítimo. Depois que o computador estiver infectado, ele pode se espalhar para outros arquivos executáveis ​​no sistema, complicando sua remoção. Os comportamentos e capacidades específicos podem variar dependendo da variante. No entanto, atividades típicas associadas a este grupo de malware são a entrega de outro software malicioso.

Os vírus evoluíram para um malware mais sofisticado e evasivo. Para se proteger contra eles, software anti-malware adequado é obrigatório. GridinSoft Anti-Malware é capaz de impedir até as ameaças mais modernas. 👉🏼 Obtenha uma ferramenta de segurança adequada

Virus:Visão geral do Win32/Expiro

Virus:Win32/Expiro é um nome genérico de detecção usado pelo Microsoft Defender Antivirus para identificar malware pertencente à família Expiro. No nosso caso, essa família inclui backdoors e RATs, que são semelhantes em seu princípio de operação. O objetivo principal desta classe de malware é para fornecer acesso remoto ao sistema de destino.

Virus:Captura de tela de detecção Win32/Expiro
Virus:Janela de detecção Win32/Expiro

O malware Expiro geralmente entra em um sistema por vários meios, mas principalmente através de publicidade maliciosa ou dentro de software pirata. Uma vez instalado, eles operam furtivamente, evitando a detecção por programas antivírus graças ao uso extensivo de truques de evasão de detecção.

Número significativo de amostras de malware Expiro aproveitar o JDK para estabelecer canais de comunicação e ocultar suas atividades. Usando este kit de ferramentas legítimo, o malware é capaz de evitar as verificações de um número significativo de software antivírus. No entanto, a análise detalhada mostra detalhes ainda mais interessantes.

Análise detalhada

Vamos olhar mais de perto em uma das amostras. A amostra original se disfarça como um arquivo de atualização Java, imita o acesso a servidores Java e o uso da biblioteca Java. Após a execução, ele se transforma em um arquivo binário normal. Uma vez no dispositivo da vítima, Virus:Win32/Expiro realiza algumas verificações básicas. A maioria visa determinar se o malware está em uma sandbox ou em um ambiente virtualizado. Para fazer isso, ele verifica as seguintes chaves:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\AppV\Client\RunVirtual\
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl

A última chave contém configurações que podem indicar se o sistema está rodando em um ambiente virtual, controlando determinados recursos ou comportamentos do Internet Explorer. Após a verificação bem-sucedida, o malware descriptografa o resto do arquivo e inicia.

Persistência & Truque de rede

Para ganhar uma posição no sistema e permanência, o malware se adiciona ao autoloader adicionando chaves apropriadas ao registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Para fornecer conexão confiável e dificilmente detectável ao C2, Expiro modifica vários arquivos relacionados ao pacote de software Adobe e mecanismos de atualização do Google Chrome. Também, malware realiza uma chamada para o Java Web Start, potencialmente parecer benigno. Provavelmente é por isso que a Microsoft deu a isso a designação de vírus.

C:\Program Files (x86)\Google\Temp\GUM871F.tmp\GoogleCrashHandler.exe
C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroCEF\RdrServicesUpdater.exe
"C:\Program Files (x86)\Java\jre1.8.0_121\bin\javaws.exe" -J-Djdk.disableLastUsageTracking=true -SSVBaselineUpdate

Comunicações de Comando e Controle

Próximo, o malware estabelece comunicação com o servidor. Ele realiza pesquisas de DNS, e posta dados no servidor de comando. O malware então solicita os seguintes arquivos, que são provavelmente a carga útil.

  • 104.198.2.251/dybacct
  • 34.128.82.12/Horvum
  • 34.128.82.12/e jeifmfnna
  • 34.174.61.199/kvlpjj
  • 34.41.229.245/egoísta
  • 72.52.178.23/
  • 72.52.178.23/qqhxribl
  • 82.112.184.197
  • cvgrf.biz/dybacct
  • cvgrf.biz/flk

Como remover vírus:Win32/Expiro?

Para remover vírus:Win32/Expiro, Eu recomendo o GridinSoft Anti-Malware. É uma solução avançada que encontra e neutraliza malware e fornece proteção proativa. Ele também possui um recurso de segurança na Internet que bloqueia páginas potencialmente perigosas, minimizando assim o risco de baixar algo malicioso.

<span longo = "um">Virus:Win32/Expiro</período>

Por Stephanie Adlam

Escrevo sobre como tornar sua navegação na Internet confortável e segura. Vale a pena fazer parte do mundo digital moderno e quero mostrar como fazê-lo da maneira adequada.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *