not-a-virus:AdWare.Win32. FunWeb.fb

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл)

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 217201 байт. Написана на C++.


Деструктивная активность

Библиотека является одним из компонентов вредоносной программы семейства "not-a-virus:AdWare.Win32.FunWeb". Данная вредоносная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты на сайт:

http://dp.sm***ntral.com

Поисковая панель имеет следующий вид:

 

Рассматриваемая библиотека сохраняется в системе как

%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLL

и содержит функционал, обеспечивающий регистрацию программы в системном реестре, а также поиск и загрузку обновлений.

Создаются следующие ключи системного реестра:

[HKLM\Software\FunWebProducts\Installer]
"PluginPath" = "%WorkDir%"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB]
"(Default)" = ""

[HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin]
"Description" = "Fun Web Products Plugin"
"Path" = "%WorkDir%\NPFunWeb.dll"
"vendor" = "Data: Fun Web Products"
"version" = "1.1.0.0"

[HKLM\Software\MozillaPlugins\@funwebproducts.com/
Plugin\MimeTypes\application/x-f3-funwebplugin]
"Description" = "Fun Web Products Plugin"
"Suffixes" = "f3p"

[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\FunWebProductsInstaller.Start]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\FunWebProductsInstaller.Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\FunWebProductsInstaller.Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
\VersionIndependentProgID]
"(Default)" = "FunWebProductsInstaller.Start"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus]
"(Default)" = "0"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\1"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "If3InstallerStart"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"Version" = "1.0"

[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"

[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

Загрузка обновлений осуществляется по следующим ссылкам:

http://dp.sm***ntral.com/download/redir.jhtml?dest=faqs&product=zwinky
http://dp.sm***ntral.com/download/redir.jhtml?dest=privacy&product=zwinky

На момент создания описания по указанным ссылкам загружался файл размером 136768 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.FunWeb.fj".