Security Lab

not-a-virus:AdWare.Win32. FunWeb.di

not-a-virus:AdWare.Win32. FunWeb.di

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл).

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 213111 байт. Написана на C++.


name="doc3">

Деструктивная активность

Библиотека является одним из компонентов программы "My Web Search Toolbar". Данная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:

im***rm.com
  smil***eator.com
  ka***lah.com
  my***arch.com
  iw***n.com
  popul***ensavers.com
  curs***nia.com
  m***cards.com
  zw***ky.com
  we**etti.com
  smil***raldev.com
  fun***roductsdev.com
  smi***entral.com
  funw***oducts.com
  
Поисковая панель имеет вид:

Рассматриваемая библиотека сохраняется в системе как

%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLL
и содержит функционал, обеспечивающий регистрацию вредоноса в системном реестре, а также поиск и загрузку обновлений.

Создаются следующие ключи системного реестра:

[HKLM\Software\FunWebProducts\Installer]
  "PluginPath" = "%WorkDir%"
  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}] "(Default)" [HKLM\Software\MozillaPlugins\@funw***ducts.com/Plugin] "Description" = "Fun Web Products Plugin" "Path" = "%WorkDir%\NPFunWeb.dll" "vendor" = "Fun Web Products" "version" = "1.1.0.0" [HKLM\Software\MozillaPlugins\@funw***ducts.com/Plugin\
MimeTypes\application/x-f3-funwebplugin] "Description" = "Fun Web Products Plugin" "Suffixes" = "f3p" [HKCR\FunWebProductsInstaller.Start.1] "(Default)" = "Fun Web Products Installer Start" [HKCR\FunWebProductsInstaller.Start.1\CLSID] "(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\FunWebProductsInstaller.Start] "(Default)" = "Fun Web Products Installer Start" [HKCR\FunWebProductsInstaller.Start\CLSID] "(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\FunWebProductsInstaller.Start\CurVer] "(Default)" = "FunWebProductsInstaller.Start.1" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}] "(Default)" = "Fun Web Products Installer Start" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID] "(Default)" = "FunWebProductsInstaller.Start.1" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
\VersionIndependentProgID] "(Default)" = "FunWebProductsInstaller.Start" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
InprocServer32] "(Default)" = "<полный путь к оригинальному файлу вредоноса>" "ThreadingModel" = "Apartment" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
MiscStatus] "(Default)" = "0" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
MiscStatus\1] "(Default)" = "131473" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
Version] "(Default)" = "1.0" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0] "(Default)" = "Installer 1.0 Type Library" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0\FLAGS] "(Default)" = "0" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0\0\win32] "(Default)" = "<полный путь к оригинальному файлу вредоноса>\1" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0\HELPDIR] "(Default)" = "<полный путь к оригинальному файлу вредоноса>\" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}] "(Default)" = "If3InstallerStart" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid] "(Default)" = "{00020424-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid32] "(Default)" = "{00020424-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib] "Version" = "1.0" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}] "(Default)" = "_If3InstallerStartEvents" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid] "(Default)" = "{00020420-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid32] "(Default)" = "{00020420-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib] "Version" = "1.0"
Загрузка обновлений осуществляется по следующим ссылкам:
http://dp.smil***ntral.com/download/redir.jhtml?dest=
faqs&product=myfuncards http://dp.smil***ntral.com/download/redir.jhtml?dest=
privacy&product=myfuncards
На момент создания описания указанные ссылки не работали.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!