این بدافزار جدید، گونه ای از بدافزار PE_EXPIRO است که سه سال قبل برای اولین بار مشاهده شد. این بدافزار و گونه های قدیمی آن فقط فایل های اجرایی را آلوده می کردند.
گونه جدید EXPIRO از روش های خاصی برای آلوده ساختن کامپیوتر قربانی استفاده می کند و همین امر نشان می دهد که EXPIRO یک بدافزار عادی نیست که با ابزارهای خودکار امروزی سرهم شده باشد. سرقت مجوزهای FTP هم نشان می دهد که گردانندگان این بدافزار به دنبال دسترسی و نفوذ به سایت های مختلف هستند و یا تلاش دارند تا اطلاعات سازمان ها و موسسات را که اغلب بر روی سرورهای FTP ذخیره می شوند، سرقت کنند. با این وجود، به نظر نمی رسد که بدافزار EXPIRO صنعت و یا موسسات خاصی را هدف قرار داده باشد.
بدافزار EXPIRO از طریق سایت های مخرب که نقاط ضعف مرورگرهای آسیب پذیر را شناسایی کرده و با سوء استفاده از آن نقاط ضعف به کامپیوتر قربانی رخنه می کنند، منتشر می شود.
این سایت های مخرب قادر هستند با سوء استفاده از نقاط ضعف Java و Adobe که اصلاحیه های آنها نصب و ترمیم نشده اند، به کامپیوترهای آسیب پذیر دسترسی غیر مجاز پیدا کرده و بدافزار EXPIRO را بر روی آنها نصب و فعال سازند. تمام نقاط ضعفی را که بدافزار EXPIRO از آنها سوء استفاده می کند، سال جاری یا حتی سال قبل توسط شرکتهای Oracle و Adobe اصلاح شده اند.
بر روی کامپیوترهای آلوده، بدافزار EXPIRO به دنبال فایل های اجرایی با پسوند EXE جستجو کرده و با اضافه کردن برنامه مخرب خود به آنها، تمام آنها را آلوده می سازد. سپس اقدام به جستجو و سرقت مجوزهای دسترسی FTP می نماید. اطلاعات سرقت شده در یک فایل با پسوند DLL نگهداری شده و در یک فرصت مناسب به سرور فرماندهی و کنترل ارسال می شود.
در یک هفته گذشته، فعالیت بدافزار EXPIRO رو به افزایش گذاشته است. البته عمده فعالیت این بدافزار تا به حال در کشور آمریکا بوده است.