Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→not-a-virus:AdWare.Win32.FunWeb.ge

not-a-virus:AdWare.Win32.FunWeb.ge

Время детектирования	28 авг 2010 23:48 MSK
Время выпуска обновления	29 авг 2010 12:58 MSK
Описание опубликовано	11 ноя 2010 17:16 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 245868 байт. Написана на C++.

Деструктивная активность

Библиотека является одним из компонентов программы "My Web Search Toolbar". Данная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:

im***rm.com
smi***ator.com
k***lah.com 
my***earch.com
i***n.com
po***nsavers.com
cur***ania.com
my***rds.com
zw***ky.com
we***tti.com
smi***aldev.com
fun***ductsdev.com
sm***tral.com
fun***ucts.com

Поисковая панель имеет вид:

Рассматриваемая библиотека сохраняется в системе как

%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLL

и содержит функционал, обеспечивающий регистрацию вредоноса в системном реестре, а также поиск и загрузку обновлений.

Создаются следующие ключи системного реестра:

[HKLM\SOFTWARE\FunWebProducts\Installer
"PluginPath" = "%WorkDir%"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = ""

[HKLM\SOFTWARE\MozillaPlugins\@funw***ducts.com/Plugin]
"Description" = "Fun Web Products Plugin"
"Path" = "%WorkDir%\NPFunWeb.dll"
"vendor" = "Fun Web Products"
"version" = "1.1.0.0"

[HKLM\SOFTWARE\MozillaPlugins\@funwebproducts.com/
Plugin\MimeTypes\application/x-f3-funwebplugin]
"Description" = "Fun Web Products Plugin"
"Suffixes" = "f3p"

[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB}"

[HKCR\FunWebProductsInstaller.Start]
"(Default)" = "Fun Web Products Installer Start"

[HKCR\FunWebProductsInstaller.Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\FunWebProductsInstaller.Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = "Data: Fun Web Products Installer Start"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\VersionIndependentProgID]
"(Default)" = "FunWebProductsInstaller.Start"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу троянца>"
"ThreadingModel" = "Apartment"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus]
"(Default)" = "0"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"

[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу троянца>\1"

[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу троянца>\"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "If3InstallerStart"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
"Version" = "1.0"

[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"

[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"

[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
"Version" = "1.0"

Загрузка обновлений осуществляется по следующим ссылкам:

http://dp.smi***tral.com/download/redir.jhtml?
dest=faqs&product=cursorMania
http://dp.smi***tral.com/download/redir.jhtml?
dest=privacy&product=cursorMania

На момент создания описания указанные ссылки не работали.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Отменить регистрацию вредоносной библиотеки. Для этого следует воспользоваться системной утилитой "regsvr32.exe", запустив ее с параметрами:
```
<полный путь к оригинальному файлу вредоноса> /u
```
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Adware, Pornware и Riskware

Adware

Adware (Adware, Advware, Browser Hijackers) — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной.

За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.

Другие модификации

not-a-virus:AdWare.Win32.FunWeb.ci

not-a-virus:AdWare.Win32.FunWeb.di

not-a-virus:AdWare.Win32.FunWeb.ds

not-a-virus:AdWare.Win32.FunWeb.fb

not-a-virus:AdWare.Win32.FunWeb.gq

not-a-virus:AdWare.Win32.FunWeb.ik

not-a-virus:AdWare.Win32.FunWeb.jm

not-a-virus:AdWare.Win32.FunWeb.jo

not-a-virus:AdWare.Win32.FunWeb.jp

not-a-virus:AdWare.Win32.FunWeb.jt

not-a-virus:AdWare.Win32.FunWeb.kd

Другие названия

not-a-virus:AdWare.Win32.FunWeb.ge («Лаборатория Касперского») также известен как:

Heuristics.Broken.Executable (ClamAV)
W32/MalwareS.BGVD (FPROT)
Adware.Funweb.23 (DrWeb)
archive damaged - the file could not be extracted. (Nod32)
Adware.Generic.165291 (BitDef7)
NseCheckFile2() returned 0x00010018 (Norman)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com