بدافزار Virus:Win64/Expiro.DA!MTB از خانواده Expiro به‌عنوان یک File Infector حرفه‌ای شناخته می‌شود که فایل‌های اجرایی (.exe) را آلوده کرده و امکان گسترش آلودگی در سیستم و حافظه‌های جانبی را دارد. این تهدید توسط Microsoft Defender با سطح Severe شناسایی می‌شود و در صورت Active بودن، نشان‌دهنده اجرای یا باقی‌ماندن آلودگی در سیستم است. کارشناسان امنیتی توصیه می‌کنند علاوه بر حذف اولیه، حتماً اسکن آفلاین انجام شود و در موارد مشکوک به آلودگی گسترده، نصب تمیز ویندوز در دستور کار قرار گیرد.

ماهیت فنی Expiro چیست؟

Expiro یک بدافزار از نوع File Infector است؛ یعنی:

• فایل‌های اجرایی (.exe) را آلوده می‌کند
• خود را به برنامه‌های سالم تزریق می‌کند
• باعث گسترش آلودگی با اجرای هر فایل آلوده می‌شود
• قابلیت سرقت اطلاعات ذخیره‌شده مانند پسوردها، داده‌های مرورگر، FTP و اطلاعات مالی را دارد

شناسه DA!MTB صرفاً کد تشخیص در دیتابیس Microsoft است و نشان‌دهنده نوع خاصی از شناسایی این خانواده محسوب می‌شود.

چرا بدافزار Virus:Win64/Expiro.DA!MTB تهدید جدی است؟

برخلاف بدافزارهای ساده، Expiro:

• فایل‌های سیستمی و نرم‌افزارهای نصب‌شده را Patch می‌کند
• ممکن است پس از حذف ظاهری، فایل‌های اجرایی آلوده باقی بمانند
• می‌تواند حافظه‌های جانبی مانند فلش USB را به ناقل آلودگی تبدیل کند

در سیستم‌های کاری، استودیویی یا دارای دسترسی مالی و سرور، این تهدید باید در بالاترین سطح جدیت بررسی شود.

آیا AutoRun خاموش بودن کافی است؟

خیر.

غیرفعال بودن AutoRun فقط مانع اجرای خودکار فایل می‌شود. اگر فایل اجرایی آلوده به‌صورت دستی اجرا شود، آلودگی فعال خواهد شد.

سناریوهای متداول:

اقدامات فوری پیشنهادی

۱. قطع ارتباط اینترنت

Wi-Fi و LAN را غیرفعال کنید تا از ارتباط احتمالی بدافزار جلوگیری شود.

۲. بررسی Protection History

در Windows Security → Virus & Threat Protection → Protection History

مسیر فایل آلوده (File Path) را بررسی کنید.

اگر آلودگی در مسیرهای سیستمی مانند System32 باشد، احتمال آلودگی گسترده‌تر وجود دارد.

۳. اجرای Microsoft Defender Offline Scan

این مرحله حیاتی است:

• Windows Security
• Virus & Threat Protection
• Scan options
• Microsoft Defender Offline

سیستم ری‌استارت شده و قبل از بوت ویندوز اسکن عمیق انجام می‌شود.

چه زمانی نصب مجدد ویندوز ضروری است؟

در صورت مشاهده این موارد:

• بازگشت وضعیت Active پس از حذف
• آلودگی در فایل‌های سیستمی
• اجرای قبلی فایل آلوده
• شناسایی چندین فایل exe آلوده

تنها راه مطمئن، Clean Install کامل ویندوز از فلش رسمی و فرمت درایو سیستم است.

Reset یا Repair معمولاً کافی نیست.

اقدامات تکمیلی امنیتی

پس از پاک‌سازی:

• تغییر تمامی رمزهای عبور مهم
• فعال‌سازی احراز هویت دو مرحله‌ای
• نصب نرم‌افزار فقط از منابع رسمی
• اسکن کامل حافظه‌های جانبی
• فرمت کامل (Full Format) فلش آلوده

نکته مهم برای کاربران حرفه‌ای

کاربرانی که با:

• ابزارهای AI و RVC
• فایل‌های اجرایی متعدد
• نسخه‌های غیررسمی یا Repack
• Setupهای دانلودی ناشناس

کار می‌کنند، بیشترین ریسک آلودگی را دارند.

۹۰٪ آلودگی‌های Expiro از فایل‌های اجرایی دستکاری‌شده یا کرک‌ها ناشی می‌شود.

جمع‌بندی امنیتی

اگر:

• فایل اجرایی آلوده اجرا نشده باشد
• Defender Offline Scan نتیجه پاک‌سازی موفق اعلام کند
• وضعیت Active تکرار نشود

احتمال آلودگی گسترده پایین است.

اما در صورت اجرای فایل مشکوک، بررسی عمیق یا نصب تمیز ویندوز توصیه می‌شود.

امنیت در سطح فایل اجرایی، بخشی از امنیت لایه عملیاتی سیستم است و باید با رویکرد دقیق، کنترل‌شده و بدون ریسک مدیریت شود.