شرح کلی
نوع: ویروس (virus)
درجه تخریب: زیاد
میزان شیوع: کم
اسامی بدافزار
Virus.Win32.Expiro
ویروس (virus) چیست؟
ویروسهای کامپیوتری همچون Expiro نوعی از بدافزار محسوب میشوند که قادر به تکثیر خودکار نیستند. ویروسها میتوانند کلیه فایلهای اجرایی قابل دسترس در سیستم که معمولاً دارای پسوندهای exe. و dll. هستند را آلوده نمایند. ویروسها در زمان اجرا به دنبال فایلهای آلوده نشده (میزبان) میگردند و برای تکثیر خود نیازمند فایل میزبان هستند تا کدهای خود را میان کدهای فایل میزبان قرار دهند. سپس با هر بار اجرا شدن فایل آلوده شده، کد مخرب نیز همزمان اجرا میشود.
توضیحات فنی
این بدافزار با سرورهای مخرب خود ارتباط برقرار کرده و اطلاعاتی درباره نسخه بدافزار و مشخصات سیستم قربانی را به آنها ارسال میکند. هدف بدافزار از برقراری این ارتباط، ارسال اطلاعاتی درباره نسخه بدافزار فعلی، مشخصات سیستم قربانی و در صورت امکان دریافت فایل از سرور مخرب است. این اطلاعات پیش از ارسال کدگذاری میشوند.
علائم آلودگی
✅ وجود یک فایل دیتا با نام زیر در مسیر %AppData%
▪️ “%AppData%\Roaming\%s.bin”
✅ ارسال اطلاعات به دامنههای بسیار (با متد POST)، چند نمونه از دامنههای مشاهده شده به شرح زیر است :
▪️ pywolwnvd.biz
▪️ ssbzmoy.biz
▪️ cvgrf.biz
▪️ npukfztj.biz
▪️ przvgke.biz
▪️ knjghuig.biz
▪️ fwiwk.biz
▪️ tbjrpv.biz
▪️ deoci.biz
▪️ qaynky.biz
▪️ bumxkqgxu.biz
▪️ dwrqljrr.biz
▪️ ytctnunms.biz
▪️ oshhkdluh.biz
▪️ jpskm.biz
▪️ jhvzpcfg.biz
شرح عملکرد
✅ آلودهسازی فایلهای سیستم:
ویروس Expiro، فایل متناظر با سرویسهای سیستم قربانی را در صورتی که نامشان شامل عبارات زیر نباشد، آلوده میکند:
✔️ windefend
✔️ TrustedInstaller
✔️ UIodetect
علاوه بر سرویسهای سیستم، فایلهای با پسوند “exe.” و “scr.” موجود در سیستم را آلوده میسازد.
✅ روال این ویروس برای آلودهسازی فایل در نسخههای قدیمی و جدید این خانواده متفاوت بوده و به شرح زیر است:
- گونه قدیمی: گونههای قدیمیتر ویروس Expiro بخشی از محتویات EP فایل سالم را برداشته و در انتهای آخرین سکشن جایگذاری میکند. سپس محتویات آلوده خود را با محتویات EP فایل سالم جایگزین میکند و در انتهای فایل، بعد از اطلاعات EP که از فایل سالم قرار داده شده، محتویات کد شده خود را درج میکند. افزون بر این، یک فایل tmp. ایجاد کرده و کل این اطلاعات تغییر یافته را درون آن نیز مینویسند.
- گونه جدید: در گونه جدید ویروس Expiro، محتویات کد شده خود را در انتهای آخرین سکشن از فایل سالم نوشته و سپس برخی ویژگیهای فایل در بخش PE Header شامل SizeofRawData، Checksum و غیره را تغییر میدهد. این ویروس همچنین به منظور اجرای کدهای مخرب خود در زمان اجرای فایل آلوده شده، یک دستور call در فایل سالم را به گونهای بازنویسی میکند که به جای اجرای تابع سالم، منجر به اجرای ویروس در سیستم قربانی شود.
در این تصویر، فایل alg_clean.exe فایل سالم و فایل alg.exe، فایل آلوده شده به ویروس است.
روش مقابله و پاکسازی سیستم :
پادویش با دارا بودن قابلیت UMP که بخشی از محافظت رفتاری آن محسوب میشود، از آلوده شدن سیستم از طریق درایو قابل حمل جلوگیری میکند. از این رو جهت پیشگیری از آلودگی به انواع بدافزارهایی همچون بدافزار Expiro که از این طریق منتشر میشوند، پیشنهاد میگردد با نصب آنتی ویروس پادویش نسبت به عدم آلودگی دستگاه خود اطمینان حاصل کنید.