Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта.
Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта. Написана на C++.
При запуске создает следующие файлы в папке %System%:
iconhandle.dll - 91648 байт, детектируется Антивирусом КасперскогоРегистрирует свои классы в системном реестре:
как AdWare.Win32.Agent.hyx
winweb.exe - 94208 байт, детектируется Антивирусом Касперского
как AdWare.Win32.Agent.hyy
web.dat – копия вредоносной программы
webad.dll – копия вредоносной программы
[HKLM\ Software \Classes\ad.h.1]После чего регистрирует свой BHO (Browser Helper Object):
[HKLM\SOFTWARE\Classes\ad.h]
[HKLM\SOFTWARE\Classes\CLSID\{73EF2588-E4D1-4623-9B45-
E0BBD6B65E9C}]
[HKLM\SOFTWARE\Classes\CLSID\{AEFA7E78-CF7E-4550-829F-
2C786A0070BF}]
[HKLM\SOFTWARE\Classes\AppID\{DD0AD1D0-6C36-4894-B38E-
9E5D3392114D}]
[HKLM\SOFTWARE\Classes\AppID\{F6136F5A-4C58-40C7-8DFC-
945F5570CB79}]
[HKLM\SOFTWARE\Classes\AppID\ad.DLL]
[HKLM\SOFTWARE\Classes\AppID\iconhandle.DLL]
[HKLM\SOFTWARE\Classes\iconhandle.seticon.1]
[HKLM\SOFTWARE\Classes\iconhandle.seticon]
[HKLM\SOFTWARE\Classes\Interface\{72397142-9352-4A45-99AD-2EF143072AC0}]
[HKLM\SOFTWARE\Classes\Interface\{78D814F1-9774-4F37-B7F9-
CD8F88558B53}]
[HKLM\SOFTWARE\Classes\TypeLib\{581F1707-4AD0-4B7B-AD6E-
057DB8F686F3}\1.0]
[HKLM\SOFTWARE\Classes\TypeLib\{5A0063A5-F6E9-4947-9D1C-
9300CE1BB342}\1.0]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{73EF2588-E4D1-4623-9B45-
E0BBD6B65E9C}]
Данная программа представляет собой BHO компонент для Internet Explorer, которые модифицирует поисковые запросы пользователя. Вредоносный компонент отслеживает следующие поисковые запросы:
http://www.baidu.com/sИ добавляет к ним следующие строки с целью осуществления «черной» поисковой оптимизации:
http://www.google.cn/search
&sa=Google+%CB%D1%CB%F7&client=pub-964***75692062&
forid=1&prog=
aff&ie=G***12&oe=G***2&hl=zh-CN
Вредонос создает на всех съемных дисках копии своего исполняемого файла с именами папок, находящихся на съемном носителе:
<X>:\<имя папки>.exeКопии вредоноса имеют иконку файла, схожую на значок папки в Windows.
Первое — находим постоянно, второе — ждем вас