Понедельник, 23.12.2024, 14:51
HUKER.ucoz.com
Главная Регистрация Вход
Приветствую Вас, Гость · RSS
Меню сайта
Категории раздела
Вирусы [16]
Форма входа
Опрос
Как часто вы посещаете наш сайт?
Всего ответов: 353
Статистика


Рейтинг@Mail.ru


Онлайн всего: 1
Гостей: 1
Пользователей: 0
 Каталог статей
Главная » Статьи » Вредоносное ПО » Вирусы

not-a-virus:AdWare.Win32. Agent.ono

Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта. Написана на C++.


Инсталляция

При запуске создает следующие файлы в папке %System%:
iconhandle.dll - 91648 байт, детектируется Антивирусом Касперского
как AdWare.Win32.Agent.hyx
winweb.exe - 94208 байт, детектируется Антивирусом Касперского
как AdWare.Win32.Agent.hyy
web.dat – копия вредоносной программы
webad.dll – копия вредоносной программы
Регистрирует свои классы в системном реестре:
[HKLM\ Software \Classes\ad.h.1]
[HKLM\SOFTWARE\Classes\ad.h]
[HKLM\SOFTWARE\Classes\CLSID\{73EF2588-E4D1-4623-9B45-
E0BBD6B65E9C}]
[HKLM\SOFTWARE\Classes\CLSID\{AEFA7E78-CF7E-4550-829F-
2C786A0070BF}]
[HKLM\SOFTWARE\Classes\AppID\{DD0AD1D0-6C36-4894-B38E-
9E5D3392114D}]
[HKLM\SOFTWARE\Classes\AppID\{F6136F5A-4C58-40C7-8DFC-
945F5570CB79}]
[HKLM\SOFTWARE\Classes\AppID\ad.DLL]
[HKLM\SOFTWARE\Classes\AppID\iconhandle.DLL]
[HKLM\SOFTWARE\Classes\iconhandle.seticon.1]
[HKLM\SOFTWARE\Classes\iconhandle.seticon]
[HKLM\SOFTWARE\Classes\Interface\{72397142-9352-4A45-99AD-2EF143072AC0}]
[HKLM\SOFTWARE\Classes\Interface\{78D814F1-9774-4F37-B7F9-
CD8F88558B53}]
[HKLM\SOFTWARE\Classes\TypeLib\{581F1707-4AD0-4B7B-AD6E-
057DB8F686F3}\1.0]
[HKLM\SOFTWARE\Classes\TypeLib\{5A0063A5-F6E9-4947-9D1C-
9300CE1BB342}\1.0]
После чего регистрирует свой BHO (Browser Helper Object):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{73EF2588-E4D1-4623-9B45-
E0BBD6B65E9C}]

Деструктивная активность


Данная программа представляет собой BHO компонент для Internet Explorer, которые модифицирует поисковые запросы пользователя. Вредоносный компонент отслеживает следующие поисковые запросы:
http://www.baidu.com/s
http://www.google.cn/search
И добавляет к ним следующие строки с целью осуществления «черной» поисковой оптимизации:
&sa=Google+%CB%D1%CB%F7&client=pub-964***75692062&
forid=1&prog=

aff&ie=G***12&oe=G***2&hl=zh-CN


Распространение на съемных носителях

Вредонос создает на всех съемных дисках копии своего исполняемого файла с именами папок, находящихся на съемном носителе:
<X>:\<имя папки>.exe
Копии вредоноса имеют иконку файла, схожую на значок папки в Windows.
Категория: Вирусы | Добавил: Huker-Admin (29.12.2010)
Просмотров: 2729 | Рейтинг: 0.0/0
Copyright HUKER.ucoz.com © 2024-2012
Облако тегов
измерение скорости

Я.Интернет. Измерьте вашу скорость.