Security Lab

not-a-virus:AdWare.Win32. Agent.ono

not-a-virus:AdWare.Win32. Agent.ono

Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта.

Вредоносная программа производящая на компьютере пользователя действия рекламного характера. Является приложением Windows (PE-EXE файл). Имеет размер 431104 байта. Написана на C++.

Инсталляция

При запуске создает следующие файлы в папке %System%:

iconhandle.dll - 91648 байт, детектируется Антивирусом Касперского 
как AdWare.Win32.Agent.hyx
winweb.exe - 94208 байт, детектируется Антивирусом Касперского
как AdWare.Win32.Agent.hyy
web.dat – копия вредоносной программы
webad.dll – копия вредоносной программы
Регистрирует свои классы в системном реестре:
[HKLM\ Software \Classes\ad.h.1]
[HKLM\SOFTWARE\Classes\ad.h]
[HKLM\SOFTWARE\Classes\CLSID\{73EF2588-E4D1-4623-9B45-
E0BBD6B65E9C}]
[HKLM\SOFTWARE\Classes\CLSID\{AEFA7E78-CF7E-4550-829F-
2C786A0070BF}]
[HKLM\SOFTWARE\Classes\AppID\{DD0AD1D0-6C36-4894-B38E-
9E5D3392114D}]
[HKLM\SOFTWARE\Classes\AppID\{F6136F5A-4C58-40C7-8DFC-
945F5570CB79}]
[HKLM\SOFTWARE\Classes\AppID\ad.DLL]
[HKLM\SOFTWARE\Classes\AppID\iconhandle.DLL]
[HKLM\SOFTWARE\Classes\iconhandle.seticon.1]
[HKLM\SOFTWARE\Classes\iconhandle.seticon]
[HKLM\SOFTWARE\Classes\Interface\{72397142-9352-4A45-99AD-2EF143072AC0}]
[HKLM\SOFTWARE\Classes\Interface\{78D814F1-9774-4F37-B7F9-
CD8F88558B53}]
[HKLM\SOFTWARE\Classes\TypeLib\{581F1707-4AD0-4B7B-AD6E-
057DB8F686F3}\1.0]
[HKLM\SOFTWARE\Classes\TypeLib\{5A0063A5-F6E9-4947-9D1C-
9300CE1BB342}\1.0]
После чего регистрирует свой BHO (Browser Helper Object):
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{73EF2588-E4D1-4623-9B45-
E0BBD6B65E9C}]

name="doc3">

Деструктивная активность

Данная программа представляет собой BHO компонент для Internet Explorer, которые модифицирует поисковые запросы пользователя. Вредоносный компонент отслеживает следующие поисковые запросы:

http://www.baidu.com/s      
http://www.google.cn/search
И добавляет к ним следующие строки с целью осуществления «черной» поисковой оптимизации:
&sa=Google+%CB%D1%CB%F7&client=pub-964***75692062&
forid=1&prog=
aff&ie=G***12&oe=G***2&hl=zh-CN

Распространение на съемных носителях

Вредонос создает на всех съемных дисках копии своего исполняемого файла с именами папок, находящихся на съемном носителе:

<X>:\<имя папки>.exe
Копии вредоноса имеют иконку файла, схожую на значок папки в Windows.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас