Not-a-virus AdWare.Win32.BHO.cc

Материал из Total Malware Info

Перейти к: навигация, поиск

not-a-virus_AdWare.Win32.BHO.cc Программа, которая следит за действиями пользователя в интернете. Является библиотекой Windows (PE-DLL файл). Имеет размер 354 816 байт.

Инсталляция

При регистрации создает в системе OLE объект с именем “ConnectionServices”. Для автоматической загрузки при каждом последующем запуске ОС программа добавляет ссылку на свой объект в ключ автозагрузки системного реестра: 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D7B211A-88EA-490c-BAB9-3600D8D7C503}]

Деструктивная активность

Библиотека проявляет себя только будучи подгруженной к процессу “explorer.exe”. Собирает следующую информацию о системе: - версия Internet Explorer - версия и билд ОС Windows - регион и язык Устанавливает перехватчики на следующие API функции: 

InternetOpenA
InternetOpenW
HttpSendRequestA
InternetConnectA
HttpOpenRequestA
InternetReadFile
InternetReadFileExA
HttpQueryInfoA
HttpSendRequestW
InternetConnectW
HttpOpenRequestW
InternetReadFileExW
HttpQueryInfoW
InternetQueryDataAvailable
InternetCloseHandle

с помощью которых следит за посещаемыми пользователем сайтами в интернете. Программа перехватывает запросы содержащие следующие строки: 

yahoo
search
msn
results.aspx
yandex
yandsearch
rambler
srch
words
aport
template.dll
search.mail
search.php
google

и извлекает из них текст идущий после следующих строк: 

act=fg&pin=
&v0=
&uid=
&uid2=
&uid3=
&ua=
&d=
&hl=
?hl=
&lr=
?lr=
&meta=
?meta=
SRCHLANG=
&dlang=
?dlang=
&lang0=
?lang0=
&lang1=
?lang1=
&lang2=
?lang2=
&lang3=
?lang3=
&lang4=
?lang4=
&lang5=
?lang5=

Собранные данные отправляются на сайты: 

searcherhome.com
alphasearcher.com
helperservice.com
searcherlist.com

Периодически программа может качать из интернет обновления своих программных файлов. Скачанные обновления сохраняются в папку %Temp% с временным именем. Ссылка на скачанные файлы добавляется в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
CS Update=<имя скачанного файла>

для начала их инсталляция при следующей загрузке системы.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить параметр в ключе реестра (как работать с реестром?):
    2. [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
CS Update=<имя скачанного файла>
  2. Отменить регистрацию библиотеки выполнив команду:
    3. regsvr32 /u <имя оригинального файла программы>
  3. Удалить оригинальный файл программы.
Источник — «http://www.totalmalwareinfo.com/rus/Not-a-virus_AdWare.Win32.BHO.cc»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.