Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияnot-a-virus:AdWare.Win32.FunWeb.jp

not-a-virus:AdWare.Win32.FunWeb.jp

Время детектирования 27 мар 2011 08:31 MSK
Время выпуска обновления 12 апр 2011 13:17 MSK
Описание опубликовано 20 янв 2012 17:05 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Рекламное программное обеспечение, предназначенное для перенаправления поисковых запросов пользователя на другие веб-ресурсы. Программа является динамически подключаемой библиотекой Windows (PE-DLL файл). Имеет размер 163840 байт. Написана на C++.

MD5: 528e6a262a5f875bba76657ce8dad9c0
SHA1: 2eddeb755a6c6c4e84ababdbfed1bb654ba525dd


Деструктивная активность

Библиотека является одним из компонентов программы "My Web Search Toolbar". Данная программа представляет собой поисковую панель для браузеров Internet Explorer, Mozilla Firefox и Netscape Navigator. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера: 

***gfarm.com
Поисковая панель имеет вид:

Рассматриваемая библиотека сохраняется в системе как: 

%ProgramFiles%\FunWebProducts\Installr\1.bin\NP2uEISB.dll
и содержит функционал, обеспечивающий регистрацию данной программы в системном реестре, а также поиск и загрузку обновлений.

Создаются следующие ключи системного реестра: 

[HKLM\Software\myWebFace_2uEI\Installer]
"PluginPath" = "%WorkDir%\"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{249e060a-3eab-4540-a058-84bf2e71635e}]
"(Default)" = ""

[HKLM\Software\MozillaPlugins\@ei.myWebFace_2u.com/Plugin]
"Description" = "myWebFace Plugin"
"Path" = "%WorkDir%\NP2uEISB.dll "
"vendor" = " FULLCOMPANYNAME_DDE0BB24-8F8C-44e9-B962-8289B302DEF9 "
"version" = "1.1.0.0"

[HKLM\Software\MozillaPlugins\@ei.myWebFace_2u.com/Plugin\MimeTypes\application/x-mywebface_2upluginei]
"Description" = "MyWebFace Plugin"
"Suffixes" = "2ui"

[HKCR\MyWebFace_2uInstaller.Start.1]
"(Default)" = ""

[HKCR\MyWebFace_2uInstaller.Start.1\CLSID]
"(Default)" = {249e060a-3eab-4540-a058-84bf2e71635e}

[HKCR\MyWebFace_2uInstaller.Start]
"(Default)" = ""

[HKCR\MyWebFace_2uInstaller.Start\CLSID]
"(Default)" = "{249e060a-3eab-4540-a058-84bf2e71635e}"

[HKCR\MyWebFace_2uInstaller.Start\CurVer]
"(Default)" = "MyWebFace_2uInstaller.Start.1"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}]
"(Default)" = ""

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\ProgID]
"(Default)" = "MyWebFace_2uInstaller.Start.1"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\VersionIndependentProgID]
"(Default)" = "MyWebFace_2uInstaller.Start"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу троянца>"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\MiscStatus]
"(Default)" = "0"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\MiscStatus\1]
"(Default)" = "131473"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\TypeLib]
"(Default)" = "{a2b9f2de-46b7-4546-ad62-73f181494080}"

[HKCR\CLSID\{249e060a-3eab-4540-a058-84bf2e71635e}\Version]
"(Default)" = "1.0"

[HKCR\TypeLib\{a2b9f2de-46b7-4546-ad62-73f181494080}\1.0]
"(Default)" = "Installer 1.0 Type Library"

[HKCR\TypeLib\{a2b9f2de-46b7-4546-ad62-73f181494080}\1.0\FLAGS]
"(Default)" = "0"

[HKCR\TypeLib\{a2b9f2de-46b7-4546-ad62-73f181494080}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу троянца>\1"

[HKCR\TypeLib\{a2b9f2de-46b7-4546-ad62-73f181494080}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу троянца>\"

[HKCR\Interface\{5b65c1cd-378c-4405-baa3-42115714170e}]
"(Default)" = "It8InstallerStart"

[HKCR\Interface\{5b65c1cd-378c-4405-baa3-42115714170e}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{5b65c1cd-378c-4405-baa3-42115714170e}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{5b65c1cd-378c-4405-baa3-42115714170e}\TypeLib]
"(Default)" = "{a2b9f2de-46b7-4546-ad62-73f181494080}"
"Version" = "1.0"

[HKCR\Interface\{1f766799-5428-4d26-9618-efa5939be918}]
"(Default)" = "_It8InstallerStartEvents"

[HKCR\Interface\{1f766799-5428-4d26-9618-efa5939be918}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{1f766799-5428-4d26-9618-efa5939be918}\ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{1f766799-5428-4d26-9618-efa5939be918}\TypeLib]
"(Default)" = "{a2b9f2de-46b7-4546-ad62-73f181494080}"
"Version" = "1.0"


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл программы (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Отменить регистрацию библиотеки. Для этого следует воспользоваться системной утилитой "regsvr32.exe", запустив ее с параметрами: 
    Regsvr32 /u <полный путь к библиотеке>
  3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Adware
Adware

Adware (Adware, Advware, Browser Hijackers) — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной.

За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.


Другие модификации
not-a-virus:AdWare.Win32.FunWeb.ci
not-a-virus:AdWare.Win32.FunWeb.di
not-a-virus:AdWare.Win32.FunWeb.ds
not-a-virus:AdWare.Win32.FunWeb.fb
not-a-virus:AdWare.Win32.FunWeb.ge
not-a-virus:AdWare.Win32.FunWeb.gq
not-a-virus:AdWare.Win32.FunWeb.ik
not-a-virus:AdWare.Win32.FunWeb.jm
not-a-virus:AdWare.Win32.FunWeb.jo
not-a-virus:AdWare.Win32.FunWeb.jt
not-a-virus:AdWare.Win32.FunWeb.kd

Другие названия

not-a-virus:AdWare.Win32.FunWeb.jp («Лаборатория Касперского») также известен как:

  • Heuristics.Broken.Executable (ClamAV)
  • Adware.Funweb.27 (DrWeb)
  • not-a-virus:AdWare.Win32.FunWeb (Ikarus)
  • NseCheckFile2() returned 0x00010018 (Norman)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск