Virus:Win32/Expiro é uma detecção do Microsoft Defender que se refere a um malware com recursos de backdoor. Permite que invasores controlem o sistema comprometido, espionar isso, instalar outro malware, manipular sistemas, e criar botnets.
Este malware é distribuído sob o disfarce de software legítimo. Depois que o computador estiver infectado, ele pode se espalhar para outros arquivos executáveis no sistema, complicando sua remoção. Os comportamentos e capacidades específicos podem variar dependendo da variante. No entanto, atividades típicas associadas a este grupo de malware são a entrega de outro software malicioso.
Virus:Visão geral do Win32/Expiro
Virus:Win32/Expiro é um nome genérico de detecção usado pelo Microsoft Defender Antivirus para identificar malware pertencente à família Expiro. No nosso caso, essa família inclui backdoors e RATs, que são semelhantes em seu princípio de operação. O objetivo principal desta classe de malware é para fornecer acesso remoto ao sistema de destino.
O malware Expiro geralmente entra em um sistema por vários meios, mas principalmente através de publicidade maliciosa ou dentro de software pirata. Uma vez instalado, eles operam furtivamente, evitando a detecção por programas antivírus graças ao uso extensivo de truques de evasão de detecção.
Número significativo de amostras de malware Expiro aproveitar o JDK para estabelecer canais de comunicação e ocultar suas atividades. Usando este kit de ferramentas legítimo, o malware é capaz de evitar as verificações de um número significativo de software antivírus. No entanto, a análise detalhada mostra detalhes ainda mais interessantes.
Análise detalhada
Vamos olhar mais de perto em uma das amostras. A amostra original se disfarça como um arquivo de atualização Java, imita o acesso a servidores Java e o uso da biblioteca Java. Após a execução, ele se transforma em um arquivo binário normal. Uma vez no dispositivo da vítima, Virus:Win32/Expiro realiza algumas verificações básicas. A maioria visa determinar se o malware está em uma sandbox ou em um ambiente virtualizado. Para fazer isso, ele verifica as seguintes chaves:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\AppV\Client\RunVirtual\
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl
A última chave contém configurações que podem indicar se o sistema está rodando em um ambiente virtual, controlando determinados recursos ou comportamentos do Internet Explorer. Após a verificação bem-sucedida, o malware descriptografa o resto do arquivo e inicia.
Persistência & Truque de rede
Para ganhar uma posição no sistema e permanência, o malware se adiciona ao autoloader adicionando chaves apropriadas ao registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Para fornecer conexão confiável e dificilmente detectável ao C2, Expiro modifica vários arquivos relacionados ao pacote de software Adobe e mecanismos de atualização do Google Chrome. Também, malware realiza uma chamada para o Java Web Start, potencialmente parecer benigno. Provavelmente é por isso que a Microsoft deu a isso a designação de vírus.
C:\Program Files (x86)\Google\Temp\GUM871F.tmp\GoogleCrashHandler.exe
C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroCEF\RdrServicesUpdater.exe
"C:\Program Files (x86)\Java\jre1.8.0_121\bin\javaws.exe" -J-Djdk.disableLastUsageTracking=true -SSVBaselineUpdate
Comunicações de Comando e Controle
Próximo, o malware estabelece comunicação com o servidor. Ele realiza pesquisas de DNS, e posta dados no servidor de comando. O malware então solicita os seguintes arquivos, que são provavelmente a carga útil.
- 104.198.2.251/dybacct
- 34.128.82.12/Horvum
- 34.128.82.12/e jeifmfnna
- 34.174.61.199/kvlpjj
- 34.41.229.245/egoísta
- 72.52.178.23/
- 72.52.178.23/qqhxribl
- 82.112.184.197
- cvgrf.biz/dybacct
- cvgrf.biz/flk
Como remover vírus:Win32/Expiro?
Para remover vírus:Win32/Expiro, Eu recomendo o GridinSoft Anti-Malware. É uma solução avançada que encontra e neutraliza malware e fornece proteção proativa. Ele também possui um recurso de segurança na Internet que bloqueia páginas potencialmente perigosas, minimizando assim o risco de baixar algo malicioso.