Not-a-virus.AdWare.Win32.FunWeb.e
Материал из Total Malware Info
not-a-virus.AdWare.Win32.FunWeb.e Вредоносная программа является частью вредоносной программы рекламного характера. Программа является приложением Windows (PE EXE- файл). Имеет размер 110 592 байт. Написана на С++.
Инсталляция
При запуске вредоносная программа проверяет, не запущена ли она с ключом /u, если да – производит полное удаление себя из системы. В противном случае создает папку:
C:\Program Files\FunWebProducts\Installr\1.bin
Создает ключ реестра:
[HKLM\Software\FunWebProducts\Installer] "(Dir)" = "C:\Program Files\FunWebProducts\Installr"
Распаковывает из своего тела библиотеку DLL:
C:\Program Files\FunWebProducts\Installr\1.bin\F3EZSETP.DLL (90 112 байт, детектируется Антивирусом Касперского как not-a-virus.AdWare.Win32.FunWeb.e.)
После чего загружает DLL и регистрирует ее в системе, создавая следующие ключи реестра:
[HKLM\Software\FunWebProducts\Installer]
"(CurInstall)” = "1"
"(sr)" = "0"
"(pl)" = "25"
[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\VersionIndependentProgID]
"(Default)" = "FunWebProductsInstaller.Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Programmable]
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\InprocServer32]
"(Default)" = "C:\Program Files\FunWebProducts\Installr\1.bin\F3EZSETP.DLL"
"(ThreadingModel)" = "Apartment"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Control]
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus]
"(Default)" = "0"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\0\win32]
"(Default)" = "C:\Program Files\FunWebProducts\Installr\1.bin\F3EZSETP.DLL\1"
[HKCR\TypeeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "C:\Program Files\FunWebProducts\Installr\1.bin\F3EZSETP.DLL\"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "If3InstallerStart"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
"(Version)" = "1.0"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
"Version" = "1.0"
Деструктивная активность
Перехватывает введенные в адресной строке браузера адреса, формирует из них сообщение, шифрует и отправляет их на сайты:
http://funwebproducts.com http://smileycentral.com http://funwebproductsdev.com http://smileycentraldev.com
Для хранения своих настроек использует файл:
%Work%files.ini
Рекомендации по удалению
- Вызвать исполняемый файл вредоносной программы с ключом /u
- Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
