Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта. Написана на C++.
Инсталляция
При запуске создает следующие файлы в папке %System%: iconhandle.dll - 91648 байт, детектируется Антивирусом Касперского как AdWare.Win32.Agent.hyx winweb.exe - 94208 байт, детектируется Антивирусом Касперского как AdWare.Win32.Agent.hyy web.dat – копия вредоносной программы webad.dll – копия вредоносной программы Регистрирует свои классы в системном реестре: [HKLM\ Software \Classes\ad.h.1] [HKLM\SOFTWARE\Classes\ad.h] [HKLM\SOFTWARE\Classes\CLSID\{73EF2588-E4D1-4623-9B45- E0BBD6B65E9C}] [HKLM\SOFTWARE\Classes\CLSID\{AEFA7E78-CF7E-4550-829F- 2C786A0070BF}] [HKLM\SOFTWARE\Classes\AppID\{DD0AD1D0-6C36-4894-B38E- 9E5D3392114D}] [HKLM\SOFTWARE\Classes\AppID\{F6136F5A-4C58-40C7-8DFC- 945F5570CB79}] [HKLM\SOFTWARE\Classes\AppID\ad.DLL] [HKLM\SOFTWARE\Classes\AppID\iconhandle.DLL] [HKLM\SOFTWARE\Classes\iconhandle.seticon.1] [HKLM\SOFTWARE\Classes\iconhandle.seticon] [HKLM\SOFTWARE\Classes\Interface\{72397142-9352-4A45-99AD-2EF143072AC0}] [HKLM\SOFTWARE\Classes\Interface\{78D814F1-9774-4F37-B7F9- CD8F88558B53}] [HKLM\SOFTWARE\Classes\TypeLib\{581F1707-4AD0-4B7B-AD6E- 057DB8F686F3}\1.0] [HKLM\SOFTWARE\Classes\TypeLib\{5A0063A5-F6E9-4947-9D1C- 9300CE1BB342}\1.0] После чего регистрирует свой BHO (Browser Helper Object): [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\{73EF2588-E4D1-4623-9B45- E0BBD6B65E9C}]
Деструктивная активность
Данная программа представляет собой BHO компонент для Internet Explorer, которые модифицирует поисковые запросы пользователя. Вредоносный компонент отслеживает следующие поисковые запросы: http://www.baidu.com/s http://www.google.cn/search И добавляет к ним следующие строки с целью осуществления «черной» поисковой оптимизации: &sa=Google+%CB%D1%CB%F7&client=pub-964***75692062& forid=1&prog=
aff&ie=G***12&oe=G***2&hl=zh-CN
Распространение на съемных носителях
Вредонос создает на всех съемных дисках копии своего исполняемого файла с именами папок, находящихся на съемном носителе: <X>:\<имя папки>.exe Копии вредоноса имеют иконку файла, схожую на значок папки в Windows.
|