Технические детали
Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта. Написана на C++.
Инсталляция
При запуске создает следующие файлы в папке %System%:
iconhandle.dll - 91648 байт, детектируется Антивирусом Касперского как AdWare.Win32.Agent.hyx
winweb.exe - 94208 байт, детектируется Антивирусом Касперского как AdWare.Win32.Agent.hyy
web.dat – копия вредоносной программы
webad.dll – копия вредоносной программы
Регистрирует свои классы в системном реестре:
[HKLM/Software/Classes/ad.h.1]
[HKLM/SOFTWARE/Classes/ad.h]
[HKLM/SOFTWARE/Classes/CLSID/{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}]
[HKLM/SOFTWARE/Classes/CLSID/{AEFA7E78-CF7E-4550-829F-2C786A0070BF}]
[HKLM/SOFTWARE/Classes/AppID/{DD0AD1D0-6C36-4894-B38E-9E5D3392114D}]
[HKLM/SOFTWARE/Classes/AppID/{F6136F5A-4C58-40C7-8DFC-945F5570CB79}]
[HKLM/SOFTWARE/Classes/AppID/ad.DLL]
[HKLM/SOFTWARE/Classes/AppID/iconhandle.DLL]
[HKLM/SOFTWARE/Classes/iconhandle.seticon.1]
[HKLM/SOFTWARE/Classes/iconhandle.seticon]
[HKLM/SOFTWARE/Classes/Interface/{72397142-9352-4A45-99AD-2EF143072AC0}]
[HKLM/SOFTWARE/Classes/Interface/{78D814F1-9774-4F37-B7F9-CD8F88558B53}]
[HKLM/SOFTWARE/Classes/TypeLib/{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}/1.0]
[HKLM/SOFTWARE/Classes/TypeLib/{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}/1.0]
После чего регистрирует свой BHO (Browser Helper Object):
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}]
Деструктивная активность
Данная программа представляет собой BHO компонент для Internet Explorer, которые модифицирует поисковые запросы пользователя. Вредоносный компонент отслеживает следующие поисковые запросы:
http://www.baidu.com/s
http://www.google.cn/search
И добавляет к ним следующие строки с целью осуществления «черной» поисковой оптимизации:
&sa=Google+%CB%D1%CB%F7&client=pub-964***75692062&forid=1&prog=aff&ie=G***12&oe=G***2&hl=zh-CN
Распространение на съемных носителях
Вредонос создает на всех съемных дисках копии своего исполняемого файла с именами папок, находящихся на съемном носителе:
X:/имя папки.exe
Копии вредоноса имеют иконку файла, схожую на значок папки в Windows.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
iconhandle.dll
winweb.exe
web.dat
webad.dll
X:/имя папки.exe
- Удалить следующие ключи системного реестра:
[HKLM/Software/Classes/ad.h.1]
[HKLM/SOFTWARE/Classes/ad.h]
[HKLM/SOFTWARE/Classes/CLSID/{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}]
[HKLM/SOFTWARE/Classes/CLSID/{AEFA7E78-CF7E-4550-829F-2C786A0070BF}]
[HKLM/SOFTWARE/Classes/AppID/{DD0AD1D0-6C36-4894-B38E-9E5D3392114D}]
[HKLM/SOFTWARE/Classes/AppID/{F6136F5A-4C58-40C7-8DFC-945F5570CB79}]
[HKLM/SOFTWARE/Classes/AppID/ad.DLL]
[HKLM/SOFTWARE/Classes/AppID/iconhandle.DLL]
[HKLM/SOFTWARE/Classes/iconhandle.seticon.1]
[HKLM/SOFTWARE/Classes/iconhandle.seticon]
[HKLM/SOFTWARE/Classes/Interface/{72397142-9352-4A45-99AD-2EF143072AC0}]
[HKLM/SOFTWARE/Classes/Interface/{78D814F1-9774-4F37-B7F9-CD8F88558B53}]
[HKLM/SOFTWARE/Classes/TypeLib/{581F1707-4AD0-4B7B-AD6E-057DB8F686F3}/1.0]
[HKLM/SOFTWARE/Classes/TypeLib/{5A0063A5-F6E9-4947-9D1C-9300CE1BB342}/1.0]
[HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{73EF2588-E4D1-4623-9B45-E0BBD6B65E9C}]
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
|