RSS-каналы
Уровень опасности: 1
not-a-virus:AdWare.Win32.FunWeb.ik
| Время детектирования | 23 дек 2010 05:06 MSK |
| Время выпуска обновления | 23 дек 2010 11:46 MSK |
| Описание опубликовано | 04 апр 2011 15:23 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Рекламное программное обеспечение, предназначенное для перенаправления поисковых запросов пользователя на другие веб-ресурсы. Является приложением Windows (PE-EXE файл). Имеет размер 141120 байт. Написано на C++.
Деструктивная активность
Вредонос представляет собой поисковую панель для браузеров Netscape Navigator и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:
im***m.com smi**eator.com ka***ah.com my***earch.com i***on.com po***reensavers.com cur***ania.com my***ards.com z***ky.com we***tti.com smi***raldev.com funw***ctsdev.com smil***ntral.com fun***oducts.comИнсталлируемая поисковая панель имеет вид:
Вредонос устанавливается в качестве плагина браузера:
После запуска вредоноса выполняются следующие действия:
- создаются ключи системного реестра:
[HKLM\Software\FunWebProducts\Installer] "Dir" = "%Program Files%\FunWebProducts\Installr\" "CurInstall" = "1" "sr" = "0" "pl" = "25"
- Из тела вредоноса извлекаются файлы:
%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLL (213119 байт; детектируется Антивирусом Касперского как "AdWare.Win32.FunWeb.ik") %Program Files%\FunWebProducts\Installr\1.bin\F3PLUGIN.DLL (45168 байт) %Program Files%\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (24692 байта)
- Из каждой извлеченной библиотеки вызывается функция "DllRegisterServer". При регистрации библиотеки "F3EZSETP.DLL" создаются ключи системного реестра:
[HKLM\Software\FunWebProducts\Installer] "PluginPath" = "%Program Files%\FunWebProducts\Installr\1.bin\" [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\ {1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}] "(Default)" = "" [HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin] "Description" = "Fun Web Products Plugin" "Path" = "%Program Files%\FunWebProducts\Installr\1.bin\ NPFunWeb.dll" "vendor" = "Fun Web Products" "version" = "1.1.0.0" [HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin\ MimeTypes\application/x-f3-funwebplugin] "Description" = "Fun Web Products Plugin" "Suffixes" = "f3p" [HKCR\FunWebProductsInstaller.Start.1] "(Default)" = "Fun Web Products Installer Start" [HKCR\FunWebProductsInstaller.Start.1\CLSID] "(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\FunWebProductsInstaller.Start] "(Default)" = "Fun Web Products Installer Start" [HKCR\FunWebProductsInstaller.Start\CLSID] "(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\FunWebProductsInstaller.Start\CurVer] "(Default)" = "FunWebProductsInstaller.Start.1" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}] "(Default)" = "Fun Web Products Installer Start" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ ProgID] "(Default)" = "FunWebProductsInstaller.Start.1" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} \VersionIndependentProgID] "(Default)" = "FunWebProductsInstaller.Start" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ InprocServer32] "(Default)" = "%Program Files%\FunWebProducts\Installr\1.bin\ F3EZSETP.DLL" "ThreadingModel" = "Apartment" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ MiscStatus] "(Default)" = "0" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ MiscStatus\1] "(Default)" = "131473" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}" [HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ Version] "(Default)" = "1.0" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB} \1.0] "(Default)" = "Installer 1.0 Type Library" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB} \1.0\FLAGS] "(Default)" = "0" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB} \1.0\0\win32] "(Default)" = "%Program Files%\FunWebProducts\Installr\1.bin\ F3EZSETP.DLL\1" [HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\ 1.0\HELPDIR] "(Default)" = "%Program Files%\FunWebProducts\Installr\1.bin\ F3EZSETP.DLL\" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}] "(Default)" = "If3InstallerStart" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ ProxyStubClsid] "(Default)" = "{00020424-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ ProxyStubClsid32] "(Default)" = "{00020424-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}" "Version" = "1.0" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}] "(Default)" = "_If3InstallerStartEvents" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ ProxyStubClsid] "(Default)" = "{00020420-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ ProxyStubClsid32] "(Default)" = "{00020420-0000-0000-C000-000000000046}" [HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ TypeLib] "(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}" "Version" = "1.0" - Вредонос может обновлять свои компоненты, обращаясь по ссылкам:
http://dp.sm***entral.com/download/redir.jhtml?dest= faqs&product=myfuncards http://dp.sm***entral.com/download/redir.jhtml? dest=privacy&product=myfuncards
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Завершить работу браузеров:
Netscape Navigator Mozilla Firefox
- Отменить регистрацию извлеченных вредоносом библиотек. Для этого следует запустить системную утилиту "regsvr32.exe" с параметрами:
regsvr32.exe /u "%Program Files%\FunWebProducts\Installr\ 1.bin\F3EZSETP.DLL" regsvr32.exe /u "%Program Files%\FunWebProducts\Installr\ 1.bin\F3PLUGIN.DLL"
- Удалить каталог и все его содержимое:
%Program Files%\FunWebProducts
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\FunWebProducts\Installer] "Dir" = "%Program Files%\FunWebProducts\Installr\" "CurInstall" = "1" "sr" = "0" "pl" = "25"
- Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Adware (Adware, Advware, Browser Hijackers) — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной.
За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.
not-a-virus:
- not-a-virus:
AdWare. Win32. FunWeb (Ikarus) - NseCheckFile2() returned 0x00010018 (Norman)
- Trojan.
Win32. Generic. 12663754 (Rising)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей