Что делает вирус expiro

Файловые вирусы уже хорошо известны и давно изучены, но подобные инфекторы, в абсолютном большинстве случаев, нацелены на модификацию 32-битных файлов. Одно из таких семейств — Expiro (Xpiro) было обнаружено достаточно давно и мало чем может удивить сегодня. Однако недавно нашей антивирусной лабораторией была обнаружена новая модификация Expiro, которая способна заражать 64-битные файлы. Кроме того, тело этой модификации является универсальным и полностью кроссплатформенным, так как может заражать 32-битные и 64-битные файлы (и наоборот, т. е. из зараженных 32-битных файлов заражать 64-битные). В нашей системе именований вирус получил название Win64/Expiro.A (aka W64.Xpiro или W64/Expiro-A). При этом 32-разрядные зараженные файлы обнаруживаются как Win32/Expiro.NBF.

Само тело вируса, в 64-битном зараженном файле, представляет из себя добавленную в конец исполняемого файла новую секцию .vmp0 размером 512 000 байт (на диске). Для передачи управления на основное тело вирус вставляет вредоносный стартап-код размером 1269 байт на место точки входа. При этом оригинальные байты переносятся в начало .vmp0 секции. Этот стартап-код представляет из себя распаковщик для основного кода, который располагается в секции вируса. Ниже на скриншоте представлен шаблон стартап-кода, который будет записан на место точки входа 64-битного файла при заражении.

При формировании этого кода для заражения, часть данных инструкций будет перезаписана, таким образом обеспечивается уникальность данных оригинальной секции .vmp0. При этом изменению подвергаются инструкции типа add, mov или lea, в которых фигурируют непосредственные смещения (immediate). В конце кода добавляется инструкция перехода к распакованному коду секции .vmp0.

Аналогичный код стартапа для 32-битных файлов также располагается в секции .vmp0 и имеет вид.

Что в 32-битном варианте выглядит так:

Размер этого стартап кода в 64-битном варианте равен 1269 байт, а в 32-х 711 байт.

Вирус заражает исполняемые файлы, проходя рекурсивно по директориям логических дисков, при этом заражение исполняемого файла происходит с применением создаваемого .vir-файла, в котором вредоносный код формирует новое содержимое файла, а затем записывает его в инфицируемый файл блоками по 64K. Если вирус не может открыть файл на чтение/запись, он пытается изменить у него дескриптор защиты и информацию о владельце (owner).

Не являются исключением для заражения и подписанные исполняемые файлы. После заражения такого файла, он перестает быть подписанным, так как вирус записывает свое тело после последней секции, где в оригинальном файле располагается оверлей с цифровой подписью. Кроме этого, вирус корректирует значения поля Security Directory в Data Directory, выставляя поле RVA и Size в 0. Соответственно, в дальнейшем, такой файл также может быть исполнен, поскольку лишен любой информации о цифровой подписи. Ниже показаны различия в оригинальном и зараженном 64-битном файле, который снабжен цифровой подписью. Слева в модифицированной версии видно, что на месте оверлея начинается секция .vmp0 и оригинальные байты точки входа.

Для поддержания своего присутствия в системе, Expiro создает два мьютекса с именем gazavat.

Кроме этого, сам процесс инфектора можно определить в системе по большому количеству операций ввода-вывода и прочитанных/записанных байт. Так как вирусу нужно просмотреть все файлы в системе, процесс заражения может занять длительное время, что также является симптомом присутствия подозрительного кода в системе.

В теле вируса используется обфускация при вызове различных API и передачи им значений, смещений строк и прочего. Например, в следующем коде, при передаче аргумента SERVICE_CONTROL_STOP (0x1), в функцию в API advapi32!ControlService, которая используется для отключения сервисов, используется арифметика из зарезервированных констант.

Этим кодом вирус пытается отключить следующие сервисы: wscsvc (Windows Security Center), windefend (Windows Defender Service), MsMpSvc (Microsoft Antimalware Service), NisSrv (часть Microsoft Antimalware).

В качестве полезной нагрузки вирус пытается установить расширения для браузеров Google Chrome и Mozilla Firefox. Манифест-файл для устанавливаемого расширения Chrome выглядит следующим образом:

В директории с расширениями, каталог этого плагина будет называться dlddmedljhmbgdhapibnagaanenmajcm. Расширение использует для своей работы js-срипты background.js и content.js. После деобфускации шаблон background.js имеет вид.

В переменной HID сохраняется идентификатор системы, с ее версией и Product ID. Переменная SLST содержит список доменов, которые используются для перенаправления пользователя на вредоносные ресурсы, часть из них перечислена в переменной SLST.

Манифест расширения для Mozilla Firefox выглядит следующим образом.

Часть кода из скрипта content.js, которая отвечает за парсинг элементов форм.

Метод заражения исполняемых файлов является очень эффективным вектором распространения вредоносного кода. Описанная модификация Expiro представляет из себя серьезную угрозу как для домашних пользователей, так и для работников компаний. Поскольку вирус заражает файлы и на локальных дисках, съемных устройствах и по сети, эпидемия может принять довольно серьезные масштабы. В случае с Expiro дело ухудшается тем, что если в системе остается хотя бы один зараженный файл, который будет исполнен, процесс тотального заражения дисков начнется снова. С точки зрения доставки полезной нагрузки файловый инфектор является также довольно предпочтительным вариантом именно в виду активности распространения своего тела.

Подлинный файл является одним из компонентов программного обеспечения ATI Catalyst Control Center, разработанного ATI.

Ati2evxx.exe - это исполняемый файл (программа) для Windows. Расширение имени файла .exe - это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли Ati2evxx.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с Ati2evxx.exe

Информация о файле Ati2evxx.exe

Описание: ati2evxx.exe - это модуль ATI External Event Utility. Он устанавливается в систему с видеокартами ATI, когда вы устанавливаете драйверы ATI, и обеспечивает расширенные ATI-функции, такие как использование специальных горячих клавиш для активации определенных функций, таких как использование Alt+F5 для переключения между мониторами. Большинству пользователей это не требуется.

Важно: Некоторые вредоносные программы используют такое же имя файла Ati2evxx.exe, например Virus:Win32/Patchload.O или Virus:Win32/Expiro.AO (определяется антивирусом Microsoft), и PTCH_KATUSHA.W или PE_EXPIRO.RAP (определяется антивирусом TrendMicro). Таким образом, вы должны проверить файл Ati2evxx.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

1.DLL'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\mlburmh.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\mlburmh.exe'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\mlburmh.exe'); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. скрипт2: begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\ati2avxx.exe'); QuarantineFile('c:\windows\system32\ati2avxx.exe',''); QuarantineFile('C:\WINDOWS\system32\IMES.dll',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\tgknpb.exe',''); BC_DeleteFile('c:\windows\system32\ati2avxx.exe'); DeleteFile('C:\WINDOWS\system32\IMES.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\tgknpb.exe'); BC_ImportAll; ExecuteSysClean;
Виктория Процесс Ati2evxx.exe, запускается службой Ati HotKey Poller (см. Пуск-Панель управления-Администрирование-Службы или из командной строки services.msc /s), расположение %SystemRoot%\system32\Ati2evxx.exe
Сервис необходим только в том случае, если вы используете для настройки горячие клавиши ATi Hotkey, просмотреть которые можно в ATi Control Panel. Если вы их не используете, то можно отключить
Эта служба появляется у пользователей видеокарт от Ati RADEON
сделал проще через автозагрузку запретил все что касается ATI, далее в службах нашел ATI External Event Utility и поставил запуск вручную и вуаля
Денис Сенк. выключил службу хот кей не юзаю. все стало нормально.
Денис Процесс Ati2evxx.exe, запускается службой Ati HotKey Poller (см. Пуск-Панель управления-Администрирование-Службы или из командной строки services.msc /s), расположение %SystemRoot%\system32\Ati2evxx.exe Только это помогло избавиться от маниакальной загрузки ЦП! Большое спасибо! Я выбрал "отключить" в свойствах и после перезагрузки ПК всё стало ок!
ZNR У меня таких процессов в диспетчере два
100% рабочий вариант. """""Сделал проще через автозагрузку запретил все что касается ATI, далее в службах нашел ATI External Event Utility и поставил запуск вручную и вуаля. Денис"""" 100% рабочий вариант.
Евгений Двое суток боролся с мигающим курсором. Asus X50VL
Валерий В диспетчере задач,открываеш место хранения файла,вырезеш его оттуда,перезагружаеш(комп долго думает) . загружается,и дышит уже полегче.
У меня почему-то два таких процесса.
Алексей У меня почему-то два таких процесса.
Алексей Это драйвер видеокарт ATI.
Лалка Качать надо драйвера с сайта производителя видео карты , а не с помоек разных.)
Алексей Это файл службы драйвера видеокарт ATI Mobility FireGL V5200, ATI Mobility Radeon X1400, X1450, X1600, X1700, X2300. Конкретно в моём случае это была X1700 в ноутбуке ASUS F3Se, драйвера с серверов удалены и официально не поддерживаются, есть только диск для WinVista. При установке в Windows 7, 8.1, 10 съедает всю RAM память, помогла лишь до глупости простая манипуляция Esc+Shift+Ctrl - Службы - Ati External Event Utility - Открыть службы - Ati External Event Utility - Свойства - Тип запуска - Вручную - Сохранить. Если же выбрать пункт Отключена, то после перезагрузки ничего не будет отображаться.
Роман что он грузит процессор
Николай Просто отключите службу ATI
klop аваст определяет данный процесс и связанные с ним файлы как вирус
Дмитрий Иванников

Лучшие практики для исправления проблем с Ati2evxx

Аккуратный и опрятный компьютер - это главное требование для избежания проблем с Ati2evxx. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса Ati2evxx.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным - шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

Ati2evxx сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Каждый из вас замечал, что новый компьютер/ ноутбук быстро включается, работает, никогда не зависает. Но спустя некоторое время использования, он начинает зависать, тормозить, выдает различные окна с ошибками или самопроизвольно выскакивают рекламные баннеры в браузере и т.д. Причиной такой неудовлетворительной работы являются вирусы, захламление ненужными файлами на диске и установка подозрительных программ, которые устанавливаются вместе с основной программой. Что бы избавиться от всей нечисти на компьютере и вернуть ему былое быстродействие и высокую скорость работы, предлагаю вам проделать ряд не сложных манипуляций, подробно описанных в этой статье.

Прежде всего предлагаю удалить все лишние файлы с вашего устройства. В моем компьютере нет лишних файлов и папок! - возразите вы, на самом деле есть и их много, взять например папку Temp, это папка для хранения временных файлов. В ней скапливаются файлы после установки программ, после сохранение промежуточных версий файлов и т.д. помимо этого- это первое пристанище вирусов, большинство вирус изначально появляются именно там. Поскольку лишний хлам и вирусы нам не нужны, ее нужно почистить, это можно сделать вручную, зайти в папки и удалить из них все лишнее:

C:\Users\Имя пользователя\AppData\Local\Temp (AppData - скрытая папка, чтобы ее увидеть необходимо сделать видимыми скрытые папки )

Или воспользоваться специализированными программами, например Ccleaner. Эта программа позволит не только удалить временные файлы, но и почистит кэши браузеров (где тоже могут находится вирусы), корзину и т.д.

Первым делом, необходимо скачать Ccleaner с официально сайта (в данном случае это будет Portaple версия- не требующая установки)

После загрузки, разархивируйте архив и запустите версию соответствующую вашей версии операционной системы (x32 или x 64). Эту информацию вы увидите, если нажмете на ярлыке Компьютер правой кнопкой мыши и выберите "Свойства". В окне свойств найдите строчку "Тип системы", там будет указана версия вашей операционной системы (x32 или x64). Если не указано ничего значит у вас версия x32.

В зависимости от версии операционной системы запустите версию Ccleaner.

Сразу после запуска появится окно, с вопросом о сканирование Cookies, нажмите "Yes".

После этого откроется окно программы, если вам необходимо сменить язык, перейдите во вкладку "Options" - "Settings" и в поле "Language" выберите "Русский".

Выберите в левом меню "Очистка", правее будут указаны различные группы файлов, которые необходимо искать. Рекомендую оставить все по умолчанию, нажать кнопку "Анализ" (предварительно закройте все браузеры). После этого программа будет анализировать все файлы в папках. Этот процесс может занять до нескольких минут.

После окончания анализа, справа вы увидите размеры файлов, которые можно удалить. Для удаления нажмите кнопку "Очистка".

Соглашаемся с удалением всех файлов.

Все. лишние файлы удалены. Теперь можно приступить к следующему шагу.

Для того что бы проверить ноутбук/ компьютер на вирусы совсем не обязательно раскошеливаться и покупать антивирус, достаточно будет воспользоваться бесплатными сканерами, такими как Dr Web Curite или Касперский Virus removal tool . Что они из себя представляют- это программы, не требующие установки, сканирующие ваш компьютер на вирусы, но в отличие от платных аналогов они рассчитаны на один раз, поскольку антивирусные базы нельзя обновить. Т.е. скачанный сегодня антивирусный сканер на завтрашний день уже не актуален, поскольку не содержит свежих баз. Поэтому для проверки ноутбука/ компьютера сканерами необходимо скачивать их каждый раз, перед проверкой. Для примера, пошагово опишу как почистить ноутбук/ компьютер от вирусов с помощью антивирусного сканера от Dr Web Curite.

После того как вы зашли на сайт Dr Web, необходимо нажать кнопку "Скачать Dr. Web CureIt! С функцией отправки статистики". Иначе вы просто не сможете скачать бесплатную версию.

Затем читаете и соглашаетесь с Лицензионным соглашением.

После этого начнется загрузка антивируса. Запустите скаченный файл, напомню Dr. Web CureIt не требует установки. После запуска, появится окно Лицензии и обновления, поставьте галочку, что вы согласны отправлять статистику Dr. Web.

Далее необходимо указать места проверки вирусов. Для этого нажмите "Выбрать объект для проверки".

Отметьте необходимые пункты, я рекомендую выбрать все. Затем нажмите кнопку "Щелкните для выбора файлов и папок" и выберите сканируемые диски.

После этого нажмите на гаечный ключик в правом верхнем углу для раскрытия меню опций. Ставим галочку " Автоматически применять действия к угрозам", что бы при обнаружении вируса, Dr.Web CureIt сразу выполнял заданные действия (лечил, удалял и т.д.), а не ждал вашей реакции. Далее нажмите кнопку "Настройки".

В окне настроек зайдите на вкладку "Действия" и выберите в пункте Неизлечимые "Удалять". Нажмите "Ок".

После этого можно приступить к проверке ноутбука/ компьютера на вирусы, для этого достаточно нажать кнопу "Запустить проверку".

Далее появится окно сканера. Здесь мы можем наблюдать, как проходит проверка, сколько файлов сканировано, сколько зараженных обнаружено, примерное время до окончания проверки. В случае обнаружения сканером зараженных объектов, информация о них будет заноситься в таблицу в нижней части окна: имя файла, наименование обнаруженного вируса или вредоносного кода.

В конце проверки достаточно закрыть окно Dr.Web CureIt.

В дальнейшем, что бы меньше испытывать проблем с вирусами, я настоятельно рекомендую установить полноценный антивирус, если у вас ограничен бюджет и на покупку антивируса нет денег, поставьте бесплатный антивирус, например Microsoft Security Essentials или Avast.

Иногда случаются ситуации, когда вы скачали программу с Интернета (такие программы обычно бесплатные) установили ее, а после этого начали замечать, что появляется больше рекламы на сайтах, открываются сами собой сайты, сменилась домашняя страница в браузере и тому подобное. После удаление установленной программы ситуация не меняется. Все дело в устанавливаемых с основной программой - других программ. У меня был случай, когда у знакомого сами собой открывались рекламные окна в браузере, помимо этого добавлялись рекламные блоки на многих страницах. Например, на странице Яндекса появились дополнительные блоки рекламы, при этом, если открыть страницу Яндекса на другом компьютере, ничего подобного нету. Проверка антивирусом ничего не дала, к тому же у него стоял платный регулярно обновляемый антивирус. После того, как я зашел посмотреть установленные программы, меня смутило несколько программ, которые показались мне подозрительными- я их удалил и баннеры исчезли. Т.е. по всей видимости, знакомый, установил какую то программу из интернета и параллельно установилась еще и программа вставляющая рекламные блоки на веб странице. Так что будьте осторожны при установке и скачивании программ из Интернета.

Так что не будет лишним, проверить какие программы у вас установлены и удалить не нужные. Для этого нажмите "Пуск"- "Панель управления"

Далее "Программы и компоненты"/ "Установка и удаление программ".

Откроется список всех установленных программ из них вам нужно выбрать те, которые вы не ставили или вызывают у вас подозрение, например не знакомое название программы или незаполненное поле Издателя.

В этой статье я описал все основные шаги для того, что бы почистить ваш ноутбук/ компьютер от вирусов. Так же дал несколько советов как не подхватить их и как обезопасится от них. Надеюсь информация была полезная для вас и вы с вирусами не будете сталкиваться ( ну или будете, но крайне редко).

Я научу вас ремонтировать свой компьютер!

На сегодняшний день большинство пользователей интернета сталкиваются с проблемой, когда компьютер заражается необычными вирусами, которые оказывают негативное воздействие на исполняемые файлы. К тому же, далеко не все антивирусные программы способны с ними справиться.

Проблема с активностью вирусов данного вида не является новшеством. Наиболее распространенным на сегодняшний день считается компьютерный троян-вредитель, который называется Virus.Win32.Expiro. Подцепить его в интернете не так уж и трудно, гораздо сложнее потом избавиться от вредителя. Данный вирус способен удалять EXE-файлы. Точнее сказать, он делает их недоступными для пользователя. Таким образом, при попытке открытия определенной программы после воздействия вредоносного кода вируса, исполняемый файл не распознается системой. В результате на экране отображается сообщение о том, требуемый объект не найден. Стоит отметить, что это относится не только к установленным программам, но и к первому запуску инсталлятора. Речь идет о дистрибутиве, скачанном из интернета, который находится на жестком диске.

Если производится установка программы с оптического носителя, воздействие угрозы способно проявляться позже, когда завершится данный процесс. Как известно, при инсталляции с USB-накопителя вирус перепрыгивает автоматически на него, инфицируя при этом все файлы, которые имеют расширение .exe. Однако распознать действие вируса можно лишь при запуске исполняемого файла. Поэтому, пока данный процесс не осуществлен, большинство антивирусных пакетов угроз не идентифицируют. Мало того, наличие вируса вообще не определяется.

Проблемы антивирусного программного обеспечения

Стоит рассмотреть детальнее, что и каким способом можно удалить. Вирус способен избавляться от EXE-файлов или блокировать их. Это не так уж и важно. В обоих случаях, палка о двух концах. Как известно, проблема состоит в блокировке файлов самим вирусом. В то же время, речь идет о неправильной реакции антивирусных программ. К примеру, на сегодняшний день известно много случаев, когда пакет Avast или любой другой антивирус при заданном пользователем сканировании вирус определяет.

Однако результат данного процесса сводится только к тому, что программа показывает зараженные EXE-файлы. Когда их невозможно вылечить, она удаляет их самостоятельно без предупреждения. Таким образом, стоит сказать о том, что вирус удаляет EXE-файлы не сам, а осуществляет это руками антивирусного сканера. Следует отметить, что представленный вредитель способен создавать копии и даже маскироваться под системные процессы вида svchost.

Если не придерживаться данных рекомендаций, трудно гарантировать успешное лечение. Кроме того, можно использовать более простые программы типа CureIt. Их действие направлено именно на лечение зараженных файлов, а не на их удаление. Так как вирус обычно находится в оперативной памяти, верным решением станет применение запуска с оптического диска программ, знакомых под общим названием Rescue Disc. Они способны проверить все компоненты системы до старта. Очень часто именно этот способ становится действенным. Стоит отметить, что данная методика оптимально подходит и для флешек. Правда, в таком случае в параметрах сканирования устройств хранения необходимо дополнительно установить отметку на USB-носителе.

Стоит надеяться, что данные рекомендации окажутся полезными для большинства пользователей. Они помогут юзерам разобраться с проблемой, как удалить вирус. Если существует хоть малейшее подозрение на его наличие, нежелательно запускать ни одну программу, пока не будет завершен полный процесс Также рекомендуется обзавестись каким-нибудь пакетом типа Internet Security, который способен предотвратить воздействие угрозы еще на начальном этапе.

Запись опубликована 10.08.2015 автором katrinas11 в рубрике Программы. Отблагодари меня, поделись ссылкой с друзьями в социальных сетях: