Программа показа рекламы, написана на Visual C++. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 598016 байт.
Программа показа рекламы, написана на Visual C++. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 598016 байт.
Приложение копирует свои исполняемые файлы со следующими именами:
%Program Files%\Wyeke\wyeke.dllДля автозапуска при каждой загрузки ОС создает службу со следующими параметрами:
%Program Files%\Wyeke\uninstall.exe
%Program Files%\Wyeke\wyeke.exe
%Documents and Settings%\All Users\Application Data\
Wyeke\wyeke127.exe
Имя службы:
Wyeke ServiceНазвание:
Wyeke ServiceОписание:
Update and control for WyekeФайл:
"%Documents and Settings%\All Users\ApplicationУстанавливает элемент поиска "Wyeke" в панели инструментов таких браузеров как MS Internet Explorer и Mozilla Firefox.
Data\Wyeke\wyeke127.exe" "wyeke.dll" Service
Для установки кнопки поисковика в MS Internet Explorer – создает в системном реестре следующий ключ:
[HKLM\Software\Microsoft\Internet Explorer\Extensions\где rnd – случайное имя временного каталога. При инсталляции плагина в браузер Mozilla Firefox - создает следующие файлы:
{E62B896C-824D-4C5B-B8E6-7F0A14CCB9FD}]
"Default Visible"="Yes"
"ButtonText"="Go to Wyeke"
"HotIcon"="%WinDir%\Temp\<rnd>.tmp\tbb.ico"
"Icon"="%WinDir%\Temp\<rnd>.tmp\tbb.ico"
"CLSID"="{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
"Script"="%WinDir%\Temp\<rnd>.tmp\home.js"
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\chrome\wyeke.jar
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\defaults\preferences\prefs.js
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\install.rdf
%Program Files%\Mozilla Firefox\extensions\
{4CFC8387-5FB1-47C1-8AA4-5B7B906A591E}\chrome.manifest
Библиотека "wyeke.dll" содержит в себе зашифрованную библиотеку "nncore.dll", после расшифровки которой – выполняет ее функционал. Библиотека экспортирует следующие функции:
Command()После активации приложение повышает привилегии для своего процесса. Также пытается запретить любой доступ к информации процесса. Для контроля уникальности своего процесса в системе троянец создает глобальные уникальные идентификаторы с именами"91auo+#>>>
Init()
Install()
Main()
Opt()
Proc()
Service()
Uninstall()
Добавляет следующую информацию в системный реестр:
[HKEY_LOCAL_MACHINE\SOFTWARE\Wyeke]
"Primary"=dword:0000a9fd
"DllPath"="%Program Files%\Wyeke\wyeke.dll"
"Version"=dword:0001005f
"Cid"="3fb86536b44a4d68b4e012aae8758386"
"Partner"="WYEKE127"
"Src"="wyeke"
"ShowToolbarButton"=dword:00000000
"ShowBarSign"=dword:00000000
"UpdateTimeH"=dword:01cbbe92
"UpdateTimeL"=dword:e73555ec
"FXInstalled"=dword:00000001
[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders]
"Local AppData"="%Documents and Setting%\%Current
User%\Local Settings\Application Data"
В параметрах ключа реестра приложение сохраняет свои настройки, такие как:
Также устанавливает системные перехватчики, при помощи которых перехватывает ввод с клавиатуры в адресной строке браузера. После чего перенаправляет поисковый запрос на свой ресурс:
http://www.w***ke.comПриложение загружает и устанавливает свою обновленную версию без уведомления пользователя. Загрузка производится со следующего домена:
upgrade.w***ke.comпри этом приложение отправляет такой HTTP запрос:
Храним важное в надежном месте