Технические детали
Деструктивная активность
Рекомендации по удалению
Технические детали
Программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Является приложением Windows (PE-EXE файл). Имеет размер 78104 байта. Написана на С++.
Деструктивная активность
После запуска выполняет обращение к следующему ресурсу:
http://upgra***wser.com/install.aspx?b=querybrowser
В ответ получает ссылку для загрузки файла. На момент создания описания ссылка была следующей:
http://soft***ook.com/download/querybrowser/1_14/
querybrowser-setup.exe
Загружает файл и сохраняет его со следующем именем:
%Temp%\stb<rnd>.tmp\setup.exe
Где <rnd> - случайная последовательность букв латинского алфавита и цифр, например, "11" или "F".
На момент создания описания загружался файл размером 727368 байт и детектирующийся антивирусом Касперского как "not-a-virus:AdWare.Win32.QueryBrowser.a".
Запускает на исполнение загруженный файл со следующими параметрами (данные параметры позволяют установить программу без отображения каких-либо окон):
%Temp%\stb12.tmp\setup.exe -i<rnd2>
-p QrybrsrFlvtube /S
Где <rnd2> - уникальная цифро-буквенная последовательность, например "a331c636542546a3b3953d3ca8afe1ab".
Ожидает корректное завершение работы процесса "setup.exe", после чего удаляет загруженный файл и каталог, в котором он находится:
%Temp%\stb<rnd>.tmp\setup.exe
Для уведомления об успешной установке программы отправляет служебную информацию о файле-установщике и установленном файле в параметрах запроса на следующий ресурс:
http://upgra***wser.com
После этого удаляет свой оригинальный файл и завершает свое выполнение.
Загруженный файл является инсталлятором программы "QueryBrowser". Сайт программы:
http://www.que***wser.com
Программа устанавливается в каталог "%ProgramFiles%", где создает файлы:
%Program Files%\QueryBrowser\querybrowser.exe (61712 байт;
md5:29D4B1025B915716C4CA8C4078641A7C,
sha1:444C058F9D879E24D93F5A177F11996AADA275F8,
детектируется антивирусом Касперского как "not-a-
virus:AdWare.Win32.QueryBrowser.a")
%Program Files%\QueryBrowser\querybrowser.dll (577536 байт,
md5:68CB489FDB04B9F93905395A233F685C,
sha1:D4FBC5C271224D399B1433F3B03D477EA1226CC8)
%Program Files%\QueryBrowser\uninstall (85216 байт,
md5:3248243BABE6642F598B6056E51BB12D,
sha1:DACDBE0AC09121FA700E558B6FA455C2D49BD7D8)
"QueryBrowser" превращает адресную строку браузера в окно поиска в Интернете. Таким образом, при вводе поисковых запросов или некорректных Интернет-адресов пользователь увидит результаты поиска введенного текста, обработанные поисковой службой QueryBrowser.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Для удаления установленной программы достаточно воспользоваться стандартными средствами Windows для удаления программ:
Пуск->Настройка->Панель управления->
Установка и удалениe программ->QueryBrowser
- Очистить каталог Temporary Internet Files, содержащий инфицированные файлы(Как удалить инфицированные файлы в папке Temporary Internet Files?):
%Temporary Internet Files%
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Технические детали
Имеет размер 78104 байт.
Инсталляция
Создает следующие файлы на зараженном компьютере:
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp\setup.exe
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsg3.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsv4.tmp\System.dll
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.dll
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\uninstall.exe
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.exe
-
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll
-
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.exe
Вредоносная активность
Обращается к следующим адресам в Интернете:
- http://***rade.querybrowser.com/install.aspx?b=querybrowser
- http://***rade.querybrowser.com/?product=0&xra1=82&vn=0&sddz3=737&rea=10&jd42=592&b=querybrowser&bas12=768&cid=39edd23797f540a28d03ba5f19d8dd3d&cbdj60=20&ptag=QrybrsrFlvtube&knlm32=6630&av=Ao19cDF0lroKQZGcGWv64KQowTOUJpXf8zxYqCi0&qflx19=79&as=
Для определения своего присутствия в системе создает уникальные идентификаторы "mutex"
- thttydemtkwu
- Global\91auo+#>><m
Пытается найти файлы на компьютере пользователя по следующим маскам:
Прочие действия
Производит запуск следующих файлов (команд):
- <путь к исходной программе><файл исходной программы> -bkg
- \"
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp\setup.exe\" -i 39edd23797f540a28d03ba5f19d8dd3d -p QrybrsrFlvtube /S
- \"
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.exe\" \"
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.dll\" -r
- \"
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.exe\" \"
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.dll\" delobivugoti \"-p QrybrsrFlvtube -i 39edd23797f540a28d03ba5f19d8dd3d\"
-
Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\ping.exe ping 127.0.0.1 -n 2
Устанавливает следующие системные службы (драйвера):
| Имя службы: | QueryBrowser Service |
| Отображаемое имя службы: | QueryBrowser Service |
| Параметры запуска: |
Каталог хранения Пользовательских настроек%Documents and Settings%\All Users\Application Data\QueryBrowser\querybrowser110.exe
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll kamaledayen |
| Тип запуска: | автоматически |
Изменяет состояние следующих системных служб:
| Имя службы: | QueryBrowser Service |
| Отображаемое имя службы: | QueryBrowser Service |
| Параметры запуска: |
Каталог хранения Пользовательских настроек%Documents and Settings%\All Users\Application Data\QueryBrowser\querybrowser110.exe
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll kamaledayen |
Изменяет следующие ключи системного реестра:
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"TempInstallDir" = "
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"Primary" = "0x1D16"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"DllPath" = "
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\querybrowser.dll"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"Version" = "0x1000A"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"Cid" = "39edd23797f540a28d03ba5f19d8dd3d"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"Partner" = "QrybrsrFlvtube"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"Src" = "querybrowser"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"Initial" = "0x1"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"ShowToolbarButton" = "0x0"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"ShowBarSign" = "0x0"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryBrowser ]
"DisplayName" = "QueryBrowser 1.0 build 110"
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryBrowser ]
"UninstallString" = "
Стандартный каталог установленных программ в ОС Windows (обычно, C:\Program Files)%Program Files%\QueryBrowser\uninstall.exe"
Удаляет следующие параметры ключей системного реестра:
[
Ветка системного реестра HKEY_LOCAL_MACHINEHKLM\SOFTWARE\QueryBrowser ]
"TempInstallDir" = ""
Удаляет следующие файлы на зараженном компьютере:
- <путь к исходной программе><файл исходной программы>
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp\setup.exe
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsv4.tmp\System.dll
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.dll
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\uninstall.exe
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp\querybrowser.exe
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\stb1.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsg2.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsv4.tmp
-
Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\nsq5.tmp
RSS-каналы
Уровень опасности: 1
