Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияnot-a-virus:AdWare.Win32.Boran.z

not-a-virus:AdWare.Win32.Boran.z

Время детектирования 28 апр 2007 18:39 MSK
Время выпуска обновления 28 апр 2007 18:39 MSK
Описание опубликовано 09 окт 2009 11:31 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Потенциально нежелательная программа. Программа является динамической библиотекой Windows (PE DLL-файл). Имеет размер 57856 байт. Упакована при помощи UPX. Распакованный размер – около 160 КБ. Написана на C++.


Деструктивная активность

Программа используется при установке компонента панели инструментов "Baidu Toolbar" для Internet Explorer, являющегося Internet Explorer Browser Helper Object (BHO).

Файлы программы помещаются в системный каталог Windows: 

%System%\BDGuard.DAT – 1464 байта
%System%\BDGuardS.DAT — 7904 байта
Извлекает из своего тела драйвер c именем "BDGuard.SYS": 
%System%\drivers\BDGuard.SYS
Данный файл с расширением "sys" выполнен в виде драйвера ядра NT (kernel mode driver). Имеет размер 28672 байта.

Для запуска драйвера создается службу с именем извлеченного драйвера. Для автоматического запуска драйвера при каждом следующем старте системы записывает в системный реестр следующую информацию: 

[HKLM\System\CurrentControlSet\Services\BDGuard]
"DisplayName" = "BDGuard"
"ImagePath" = "%System%\drivers\BDGuard.SYS"
"Group" = "FSFilter Activity Monitor"
"ErrorControl" = "0"
"Start" = "0"
"Type" = "2"
Драйвер предназначен для блокировки удаления файлов и ключей реестра устанавливаемого BHO-компонента при помощи подмены обработчиков следующих функций: 
NtDeleteKey
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtQueryValueKey
NtRestoreKey
NtSetSystemInformation
NtSetValueKey
NtTerminateProcess
в KeServiceDescriptorTable.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и выполнить команду для удаления ключа системного реестра: 
    reg delete HKLM\System\CurrentControlSet\Services\BDGuard
  2. Выполнить обычную загрузку Windows и удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить файлы: 
    %System%\BDGuard.DAT
%System%\BDGuardS.DAT
%System%\drivers\BDGuard.SYS
  4. Удалить файлы: 
    %ProgramFiles%\MMSAssist\MMSASS~1.DLL
%System%\stdup.dll
%Temp%\mq\<rnd>.dll
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).



Печать
Bookmark and Share
Закладки
Adware
Adware

Adware (Adware, Advware, Browser Hijackers) — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной.

За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.


Другие модификации
not-a-virus:AdWare.Win32.Boran.e

Другие названия

not-a-virus:AdWare.Win32.Boran.z («Лаборатория Касперского») также известен как:

  • Adware.Boran-43 (ClamAV)
  • Adware/Borlander (Panda)
  • W32/Adware.ARQ (FPROT)
  • Adware.Borlander (DrWeb)
  • Win32/Adware.Boran application (Nod32)
  • Adware.Generic.72961 (BitDef7)
  • Adware.Boran!KZFkwK0We2M (VirusBuster)
  • Win32:Boran-D [Adw] (AVAST)
  • not-a-virus:AdWare.Win32.Boran (Ikarus)
  • Generic.SPC (AVG)
  • ADSPY/Boran.X.19.A (AVIRA)
  • Adware.Borlan (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Adware.Boran!KZFkwK0We2M (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск