Virus.Win32.Expiro

شرح کلی

نوع: ویروس  (virus)
درجه تخریب: زیاد
میزان شیوع: کم

اسامی بدافزار

Virus.Win32.Expiro

 ویروس (virus) چیست؟

ویروس‌های کامپیوتری همچون Expiro نوعی از بدافزار محسوب می‌شوند که قادر به تکثیر خودکار نیستند. ویروس‌ها می‌توانند کلیه فایل‌های اجرایی قابل دسترس در سیستم که معمولاً دارای پسوندهای exe. و dll. هستند را آلوده نمایند. ویروس‌ها در زمان اجرا به دنبال فایل‌های آلوده نشده (میزبان) می‌گردند و برای تکثیر خود نیازمند فایل میزبان هستند تا کدهای خود را میان کدهای فایل میزبان قرار دهند. سپس با هر بار اجرا شدن فایل آلوده شده، کد مخرب نیز هم‌زمان اجرا می‌شود.

توضیحات فنی

این بدافزار با سرورهای مخرب خود ارتباط برقرار کرده و اطلاعاتی درباره نسخه بدافزار و مشخصات سیستم قربانی را به آنها ارسال می‌کند. هدف بدافزار از برقراری این ارتباط، ارسال اطلاعاتی درباره نسخه بدافزار فعلی، مشخصات سیستم قربانی و در صورت امکان دریافت فایل از سرور مخرب است. این اطلاعات پیش از ارسال کدگذاری می‌شوند.

علائم آلودگی

✅ وجود یک فایل دیتا با نام زیر در مسیر %AppData%

▪️ “%AppData%\Roaming\%s.bin”

✅ ارسال اطلاعات به دامنه‌های بسیار (با متد POST)، چند نمونه از دامنه‌های مشاهده شده به شرح زیر است :

 

▪️ pywolwnvd.biz

▪️ ssbzmoy.biz

▪️ cvgrf.biz

▪️ npukfztj.biz

▪️ przvgke.biz

▪️ knjghuig.biz

▪️ fwiwk.biz

▪️ tbjrpv.biz

▪️ deoci.biz

▪️ qaynky.biz

▪️ bumxkqgxu.biz

▪️ dwrqljrr.biz

▪️ ytctnunms.biz

▪️ oshhkdluh.biz

▪️ jpskm.biz

▪️ jhvzpcfg.biz

شرح عملکرد

✅ آلوده‌سازی فایلهای سیستم:

ویروس Expiro، فایل متناظر با سرویس‌های سیستم قربانی را در صورتی که نامشان شامل عبارات زیر نباشد، آلوده می‌کند:

✔️ windefend 

✔️  TrustedInstaller 

✔️ UIodetect 

علاوه بر سرویس‌های سیستم، فایل‌های با پسوند “exe.” و “scr.” موجود در سیستم را آلوده می‌سازد.

 

✅ روال این ویروس برای آلوده‌سازی فایل در نسخه‌های قدیمی و جدید این خانواده متفاوت بوده و به شرح زیر است:

  • گونه قدیمی: گونه‌های قدیمی‌تر ویروس Expiro بخشی از محتویات EP فایل سالم را برداشته و در انتهای آخرین سکشن جایگذاری می‌کند. سپس محتویات آلوده‌ خود را با محتویات EP فایل سالم جایگزین می‌کند و در انتهای فایل، بعد از اطلاعات EP که از فایل سالم قرار داده شده، محتویات کد شده خود را درج می‌کند. افزون بر این، یک فایل tmp. ایجاد کرده و کل این اطلاعات تغییر یافته را درون آن نیز می‌نویسند.
  • گونه جدید: در گونه جدید ویروس Expiro، محتویات کد شده خود را در انتهای آخرین سکشن از فایل سالم نوشته و سپس برخی ویژگی‌های فایل در بخش PE Header شامل SizeofRawData، Checksum و غیره را تغییر می‌دهد. این ویروس همچنین به منظور اجرای کدهای مخرب خود در زمان اجرای فایل آلوده شده، یک دستور call در فایل سالم را به گونه‌ای بازنویسی می‌کند که به جای اجرای تابع سالم، منجر به اجرای ویروس در سیستم قربانی شود.

 

Expiro

در این تصویر، فایل alg_clean.exe فایل سالم و فایل alg.exe، فایل آلوده شده به ویروس است.

روش مقابله و پاکسازی سیستم :

‫پادویش با دارا بودن قابلیت UMP که بخشی از محافظت رفتاری آن محسوب می‌شود، از آلوده شدن سیستم از طریق درایو قابل‌ حمل جلوگیری می‌کند. از این‌ رو جهت پیشگیری از آلودگی به انواع بدافزارهایی همچون بدافزار Expiro که از این طریق منتشر می‌شوند، پیشنهاد می‌گردد با نصب آنتی ویروس پادویش نسبت به عدم آلودگی دستگاه خود اطمینان حاصل کنید.