not-a-virus:AdWare.Look2Me.ab
Потенциально нежелательная программа рекламного характера.
| name="doc1">Технические детали |
Потенциально нежелательная программа рекламного характера.
Написана на Visual C++, упакована Neolite. Размер инсталлятора — около 580 КБ, установленной DLL — около 230 КБ.
Инсталляция
Инсталлятор создает в системной директории две копии динамической библиотеки (DLL), представляющей собой основной модуль программы. Имена файлов случайны.
Создает следующие ключи реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6FAA7D12-F331-4B51-8D72-877A3CE20E84}\InprocServer32]
"Default"=<путь к файлу DLL>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell
Extensions\Approved]
"{6FAA7D12-F331-4B51-8D72-877A3CE20E84}"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\ModuleUsage]
"DllName"=<путь к файлу DLL>
Действия
Программа собирает информацию о посещаемых интернет-сайтах и отправляет ее на сервер, вследствие чего на компьютере пользователя могут отображаться всплывающие рекламного характера.
Также программа получает с сервера конфигурационный файл, в соответствии с которым может:
- изменять стартовую страницу;
- посещать те или иные сайты;
- скачивать и запускать другие программы, возможно, вредоносные;
- прочее.
Ищем баги вместе! Но не те, что в продакшене...
Разбираем кейсы, делимся опытом, учимся на чужих ошибках