Security Lab

not-a-virus:AdWare. Win32.FunWeb.kd

not-a-virus:AdWare. Win32.FunWeb.kd

Рекламное программное обеспечение, предназначенное для перенаправления поисковых запросов пользователя на другие веб-ресурсы.

Рекламное программное обеспечение, предназначенное для перенаправления поисковых запросов пользователя на другие веб-ресурсы. Программа является приложением Windows (PE-EXE файл). Имеет размер 122880 байт. Написана на C++.


name="doc3">

Деструктивная активность

Данная программа является инсталлятором плагина "Fun Web Products Plugin". Представляет собой поисковую панель для браузеров Mozilla Firefox.

Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:

***gfarm.com
***eycreator.com
***ulah.com
***search.com
***on.com
***creensavers.com
***ormania.com
***uncards.com
***nky.com
***fetti.com
***eycentraldev.com
***oductsdev.com
***eycentral.com
***roducts.com
При запуске программа без ведома пользователя извлекает из своего тела три файла и сохраняет их под следующими именами:
%ProgramFiles%\FunWebProducts\Installr\.bin\F3EZSETP.DLL
Файл имеет размер 213116 байт и детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.FunWeb.di.
%ProgramFiles%\FunWebProducts\Installr\.bin\F3PLUGIN.DLL
Файл имеет размер 45163 байта.
%ProgramFiles%\FunWebProducts\Installr\.bin\NPFUNWEB.DLL
Файл имеет размер 24687 байт. – является случайной цифрой. Для каждой извлеченной библиотеки вызывается функция "DllRegisterServer". Программа содержит функционал, обеспечивающий её регистрацию в системном реестре, а также поиск и загрузку обновлений. При этом создаются следующие ключи системного реестра:
[HKLM\Software\FunWebProducts\Installer]
"Dir" = "%ProgramFiles%\FunWebProducts\Installr\"
"PluginPath" = "%ProgramFiles%\FunWebProducts\
Installr\.bin\"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = ""

[HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin]
"Description" = "Fun Web Products Plugin"
"Path" = "%ProgramFiles%\FunWebProducts\Installr\.bin\
NPFUNWEB.DLL"
"vendor" = "Fun Web Products"
"version" = "1.1.0.0"

[HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin\
MimeTypes\application/x-mywebface_2upluginei]
"Description" = "Fun Web Products Plugin"
"Suffixes" = "f3p"

[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = {1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}

[HKCR\Fun Web Products Installer Start]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\Fun Web Products Installer Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\Fun Web Products Installer Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}]
"(Default)" = "Fun Web Products Installer Start"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}\VersionIndependentProgID]
"(Default)" = "Fun Web Products Installer Start"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}\InprocServer32]
"(Default)" = "%ProgramFiles%\FunWebProducts\Installr\.bin\
F3EZSETP.DLL"
"ThreadingModel" = "Apartment"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}\MiscStatus]
"(Default)" = "0"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"

[HKLM\Software\Classes\CLSID\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"

[HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-
1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"

[HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-
1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"

[HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-
1E41684E07BB}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу троянца>\1"

[HKLM\Software\Classes\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-
1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу троянца>\"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}]
"(Default)" = "If3InstallerStart"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"
"Version" = "1.0"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKLM\Software\Classes\Interface\{1D4DB7D1-6EC9-47A3-BD87-
1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"
"Version" = "1.0"

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться