Virus:Win32/Expiro

What is Virus:Win32/Expiro?
Virus:Win32/Expiro is a backdoor-like malware that takes advantage of different programs

Virus:Win32/Expiro es una detección de Microsoft Defender que se refiere a un malware con capacidades de puerta trasera. Permite a los atacantes controlar el sistema comprometido., espiarlo, instalar otro malware, manipular sistemas, y crear botnets.

Este malware se distribuye bajo la apariencia de software legítimo.. Una vez que la computadora está infectada, puede propagarse a otros archivos ejecutables en el sistema, complicando su eliminación. Los comportamientos y capacidades específicos pueden variar según la variante.. Sin embargo, Las actividades típicas asociadas con este grupo de malware son la entrega de otro software malicioso..

Los virus evolucionaron hasta convertirse en un malware más sofisticado y evasivo. Para protegerse contra ellos, Es imprescindible contar con un software antimalware adecuado.. GridinSoft Anti-Malware es capaz de detener incluso las amenazas más modernas. 👉🏼 Consiga la herramienta de seguridad adecuada

Virus:Descripción general de Win32/Expiro

Virus:Win32/Expiro es un nombre de detección genérico utilizado por Microsoft Defender Antivirus para identificar malware perteneciente a la familia Expiro.. En nuestro caso, Esta familia incluye puertas traseras y ratas, que son similares en su principio de funcionamiento. El objetivo principal de esta clase de malware es para proporcionar acceso remoto al sistema de destino.

Virus:Captura de pantalla de detección de Win32/Expiro
Virus:Ventana de detección de Win32/Expiro

El malware Expiro a menudo ingresa a un sistema a través de diversos medios, pero principalmente a través de publicidad maliciosa o dentro del software pirateado. Una vez instalada, operan sigilosamente, evitando la detección por parte de programas antivirus gracias al uso extensivo de trucos de evasión de detección.

Número significativo de muestras de malware Expiro aprovechar JDK para establecer canales de comunicación y ocultar sus actividades. Utilizando este kit de herramientas legítimo, el malware es capaz de evitar las comprobaciones de un número importante de software antivirus.. Aunque, el análisis detallado muestra detalles aún más interesantes.

Análisis detallado

Miremos más de cerca en una de las muestras. El ejemplo original se hace pasar por un archivo de actualización de Java., imita el acceso a servidores Java y el uso de la biblioteca Java. Después de la ejecución, se transforma en un archivo binario normal.. Una vez en el dispositivo de la víctima, Virus:Win32/Expiro realiza algunas comprobaciones básicas. La mayoría tiene como objetivo determinar si el malware se encuentra en un entorno sandbox o virtualizado.. Para hacer esto, comprueba las siguientes claves:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\AppV\Client\RunVirtual\
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl

La última clave contiene configuraciones que pueden indicar si el sistema se está ejecutando dentro de un entorno virtual al controlar ciertas características o comportamientos de Internet Explorer.. Después de la verificación exitosa, el malware descifra el resto de su archivo y se inicia.

Persistencia & Truco de redes

Para afianzarse en el sistema y permanencia, el malware se agrega al cargador automático agregando las claves apropiadas al registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Para proporcionar una conexión fiable y apenas detectable al C2, Expiro modifica varios archivos relacionados con el paquete de software de Adobe y los mecanismos de actualización de Google Chrome. También, El malware realiza una llamada a Java Web Start., potencialmente para parecer benigno. Probablemente esta sea la razón por la que Microsoft le dio a esto la designación de virus..

C:\Program Files (x86)\Google\Temp\GUM871F.tmp\GoogleCrashHandler.exe
C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroCEF\RdrServicesUpdater.exe
"C:\Program Files (x86)\Java\jre1.8.0_121\bin\javaws.exe" -J-Djdk.disableLastUsageTracking=true -SSVBaselineUpdate

Comunicaciones de comando y control

Próximo, el malware establece comunicación con el servidor. Realiza búsquedas de DNS, y publica datos en el servidor de comando. Luego, el malware solicita los siguientes archivos, cuales son probablemente la carga útil.

  • 104.198.2.251/Dybacct
  • 34.128.82.12/Horvum
  • 34.128.82.12/y jeifmfnna
  • 34.174.61.199/kvlpjj
  • 34.41.229.245/egoísta
  • 72.52.178.23/
  • 72.52.178.23/qqhxribl
  • 82.112.184.197
  • cvgrf.biz/dybacct
  • cvgrf.biz/flk

Cómo eliminar virus:Win32/Expiro?

Para eliminar virus:Win32/Expiro, Recomiendo GridinSoft Anti-Malware. Es una solución avanzada que encuentra y neutraliza malware y proporciona protección proactiva.. También tiene una función de seguridad de Internet que bloquea páginas potencialmente peligrosas., minimizando así el riesgo de descargar algo malicioso.

<lapso largo = "uno">Virus:Win32/Expiro</durar>

Por Stephanie Adlam

Escribo sobre cómo hacer que tu navegación por Internet sea cómoda y segura. Vale la pena formar parte del mundo digital moderno y quiero mostrarte cómo hacerlo correctamente.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *