Security Lab

not-a-virus:AdWare.Win32. FunWeb.gq

not-a-virus:AdWare.Win32. FunWeb.gq

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл).

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 213092 байта. Написана на C++.


name="doc3">

Деструктивная активность

Библиотека является одним из компонентов программы "My Web Search Toolbar". Данная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:

im***rm.com     
iw***n.com
Поисковая панель имеет вид:

Рассматриваемая библиотека сохраняется в системе как

%Program Files%\FunWebProducts\Installr\1.bin\9UEZSETP.DLL
и содержит функционал, обеспечивающий регистрацию вредоноса в системном реестре, а также поиск и загрузку обновлений.

Создаются следующие ключи системного реестра:

[HKLM\SOFTWARE\IWONGEI\Installer]
"PluginPath" = "%WorkDir%\"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Ext\PreApproved\{e094d4e8-0e6b-42db-86c7-9c02880369ea}]
"(Default)" = ""

[HKLM\SOFTWARE\MozillaPlugins\@ei.IWONG.com/Plugin]
"Description" = "IWON Plugin"
"Path" = "%WorkDir%\NP9uEISB.dll"
"vendor" = "FULLCOMPANYNAME_DDE0BB24-8F8C-44e9-
B962-8289B302DEF9"
"version" = "1.1.0.0"

[HKLM\SOFTWARE\MozillaPlugins\@ei.IWONG.com/Plugin\
MimeTypes\application/x-9u-iwongpluginei]
"Description" = "IWON Plugin"
"Suffixes" = "9ui"

[HKCR\IWONGInstaller.Start.1]
"(Default)" = ""

[HKCR\IWONGInstaller.Start.1\CLSID]
"(Default)" = {e094d4e8-0e6b-42db-86c7-9c02880369ea}

[HKCR\IWONGInstaller.Start]
"(Default)" = ""

[HKCR\IWONGInstaller.Start\CLSID]
"(Default)" = "{e094d4e8-0e6b-42db-86c7-9c02880369ea}"

[HKCR\IWONGInstaller.Start\CurVer]
"(Default)" = "IWONGInstaller.Start.1"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}]
"(Default)" = ""

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}\ProgID]
"(Default)" = "IWONGInstaller.Start.1"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}\VersionIndependentProgID]
"(Default)" = "IWONGInstaller.Start"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}
\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу троянца>"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}
\MiscStatus]
"(Default)" = "0"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}\
MiscStatus\1]
"(Default)" = "131473"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}\
TypeLib]
"(Default)" = "{9d9e3ed4-9c56-4800-aa4a-9534f78fd089}"

[HKCR\CLSID\{e094d4e8-0e6b-42db-86c7-9c02880369ea}\
Version]
"(Default)" = "1.0"

[HKCR\TypeLib\{9D9E3ED4-9C56-4800-AA4A-9534F78FD089}\1.0]
"(Default)" = "Installer 1.0 Type Library"

[HKCR\TypeLib\{9D9E3ED4-9C56-4800-AA4A-9534F78FD089}
\1.0\FLAGS]
"(Default)" = "0"

[HKCR\TypeLib\{9D9E3ED4-9C56-4800-AA4A-9534F78FD089}
\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу троянца>\1"

[HKCR\TypeLib\{9D9E3ED4-9C56-4800-AA4A-9534F78FD089}
\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу троянца>\"

[HKCR\Interface\{B1B20E23-A374-4B0B-9FC3-5DE37CB1DE94}]
"(Default)" = "It8InstallerStart"

[HKCR\Interface\{B1B20E23-A374-4B0B-9FC3-5DE37CB1DE94}
\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{B1B20E23-A374-4B0B-9FC3-5DE37CB1DE94}
\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{B1B20E23-A374-4B0B-9FC3-5DE37CB1DE94}
\TypeLib]
"(Default)" = "{9D9E3ED4-9C56-4800-AA4A-9534F78FD089}"
"Version" = "1.0"

[HKCR\Interface\{35D6C638-47A9-4AB4-8E78-E43A1D9C1560}]
"(Default)" = "_It8InstallerStartEvents"

[HKCR\Interface\{35D6C638-47A9-4AB4-8E78-E43A1D9C1560}
\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{35D6C638-47A9-4AB4-8E78-E43A1D9C1560}
\ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{35D6C638-47A9-4AB4-8E78-E43A1D9C1560}
\TypeLib]
"(Default)" = "{9D9E3ED4-9C56-4800-AA4A-9534F78FD089}"
"Version" = "1.0"

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь