Security Lab

not-a-virus:AdWare. Win32.F1Organizer.h

not-a-virus:AdWare. Win32.F1Organizer.h

Программа, встраивающаяся в веб-браузер. Предназначена для отображения рекламной информации.

Программа, встраивающаяся в веб-браузер. Предназначена для отображения рекламной информации. Является приложением Windows (PE EXE-файл). Имеет размер 55296 байт. Упакована при помощи UPX. Размер распакованного файла — около 108 КБ. Написана на Visual C++.

Инсталляция

При запуске программа создает системном каталоге Windows («%System%») библиотеку размером 96256 байт: 

ATPartners.dll

Происходит регистрация класса объекта в системном реестре:

[HKCR\CLSID\{00000EF1-0786-4633-87C6-1AA7A44296DA}]
"F1 Organizer Class"
[HKCR\CLSID\{00000EF1-0786-4633-87C6-1AA7A44296DA}\InprocServer32]
"%System%\ATPART~1.dll "
[HKCR\CLSID\{00000EF1-0786-4633-87C6-1AA7A44296DA}\ProgID]
"F1.Organizer"
[HKCR\CLSID\{00000EF1-0786-4633-87C6-1AA7A44296DA}\TypeLib]
"{EF100007-F409-426A-9E7C-CB211F2A9786}"
[HKCR \F1.Organizer]
[HKCR \F1.Organizer.1]
[HKCR \TypeLib\{EF100007-F409-426A-9E7C-CB211F2A9786} ]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00000EF1-0786-4633-87C6-1AA7A44296DA}]
[HKLM\ Software \Microsoft\Windows\CurrentVersion\Uninstall\DMO]
"DisplayName" = "ATP"
"UninstallString" = "regsvr32.exe /s /u %System%\ATPartners.dll"

Программа создает уникальный идентификатор для определения своего присутствия в системе: 

Hara Hara Mahadev !!!

Деструктивная активность

Данный компонент представляет собой Internet Explorer Browser Helper Object (BHO), стартующий при запуске браузера Internet Explorer и следящий за активностью пользователя в рамках текущей интернет-сессии. Сведения о посещаемых ресурсах могут быть отправлены злоумышленнику.

После запуска программа соединяется с узлом www.f1organizer.com и получает оттуда данные для конфигурирования, которые сохраняются в исходной библиотеке под одним из имен: 

im64.dll 
im64tmp.dll

В рамках сеанса работы с Интернетом программа показывает всплывающие рекламные сообщения. В папке «Избранное» она создает новые папки и помещает туда рекламные ссылки.

Также программа-реклама перехватывает поисковые запросы пользователя и переадресовывает их на указанный в файле конфигурации поисковый портал.

Существует возможность инсталляции программой дополнительных компонентов в систему.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь