not-a-virus:AdWare.Win32. FunWeb.fb
Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл)
Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 217201 байт. Написана на C++.
name="doc3">
Деструктивная активность
Библиотека является одним из компонентов вредоносной программы семейства "not-a-virus:AdWare.Win32.FunWeb". Данная вредоносная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты на сайт:
http://dp.sm***ntral.com
Поисковая панель имеет следующий вид:
Рассматриваемая библиотека сохраняется в системе как
%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLL
и содержит функционал, обеспечивающий регистрацию программы в системном реестре, а также поиск и загрузку обновлений.
Создаются следующие ключи системного реестра:
"PluginPath" = "%WorkDir%"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB]
"(Default)" = ""
[HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin]
"Description" = "Fun Web Products Plugin"
"Path" = "%WorkDir%\NPFunWeb.dll"
"vendor" = "Data: Fun Web Products"
"version" = "1.1.0.0"
[HKLM\Software\MozillaPlugins\@funwebproducts.com/
Plugin\MimeTypes\application/x-f3-funwebplugin]
"Description" = "Fun Web Products Plugin"
"Suffixes" = "f3p"
[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
\VersionIndependentProgID]
"(Default)" = "FunWebProductsInstaller.Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus]
"(Default)" = "0"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\1"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "If3InstallerStart"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"Version" = "1.0"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"
Загрузка обновлений осуществляется по следующим ссылкам:
http://dp.sm***ntral.com/download/redir.jhtml?dest=faqs&product=zwinky http://dp.sm***ntral.com/download/redir.jhtml?dest=privacy&product=zwinky
На момент создания описания по указанным ссылкам загружался файл размером 136768 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.FunWeb.fj".
Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!