RSS-каналы
Уровень опасности: 1
not-a-virus:AdWare.Win32.FunWeb.fb
| Время детектирования | 28 июн 2010 03:16 MSK |
| Время выпуска обновления | 28 июн 2010 10:09 MSK |
| Описание опубликовано | 05 окт 2010 15:43 MSK |
Деструктивная активность
Рекомендации по удалению
Технические детали
Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 217201 байт. Написана на C++.
Деструктивная активность
Библиотека является одним из компонентов вредоносной программы семейства "not-a-virus:AdWare.Win32.FunWeb". Данная вредоносная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты на сайт:
http://dp.sm***ntral.com
Поисковая панель имеет следующий вид:
Рассматриваемая библиотека сохраняется в системе как
%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLL
и содержит функционал, обеспечивающий регистрацию программы в системном реестре, а также поиск и загрузку обновлений.
Создаются следующие ключи системного реестра:
"PluginPath" = "%WorkDir%"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB]
"(Default)" = ""
[HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin]
"Description" = "Fun Web Products Plugin"
"Path" = "%WorkDir%\NPFunWeb.dll"
"vendor" = "Data: Fun Web Products"
"version" = "1.1.0.0"
[HKLM\Software\MozillaPlugins\@funwebproducts.com/
Plugin\MimeTypes\application/x-f3-funwebplugin]
"Description" = "Fun Web Products Plugin"
"Suffixes" = "f3p"
[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
\VersionIndependentProgID]
"(Default)" = "FunWebProductsInstaller.Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus]
"(Default)" = "0"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\1"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "If3InstallerStart"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"Version" = "1.0"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}"
Загрузка обновлений осуществляется по следующим ссылкам:
http://dp.sm***ntral.com/download/redir.jhtml?dest=faqs&product=zwinky http://dp.sm***ntral.com/download/redir.jhtml?dest=privacy&product=zwinky
На момент создания описания по указанным ссылкам загружался файл размером 136768 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.FunWeb.fj".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра (как работать с реестром?):
[HKLM\Software\FunWebProducts\Installer]
"PluginPath" = "%WorkDir%"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{1D4DB7D2-6EC9-47a3-BD87-
1E41684E07BB]
"(Default)" = ""
[HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin]
"Description" = "Fun Web Products Plugin"
"Path" = "%WorkDir%\NPFunWeb.dll"
"vendor" = "Data: Fun Web Products"
"version" = "1.1.0.0"
[HKLM\Software\MozillaPlugins\@funwebproducts.com/
Plugin\MimeTypes\application/x-f3-funwebplugin]
"Description" = "Fun Web Products Plugin"
"Suffixes" = "f3p"
[HKCR\FunWebProductsInstaller.Start.1]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start.1\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\FunWebProductsInstaller.Start\CLSID]
"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\FunWebProductsInstaller.Start\CurVer]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]
"(Default)" = "Fun Web Products Installer Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]
"(Default)" = "FunWebProductsInstaller.Start.1"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\VersionIndependentProgID]
"(Default)" = "FunWebProductsInstaller.Start"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\InprocServer32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>"
"ThreadingModel" = "Apartment"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus]
"(Default)" = "0"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\MiscStatus\1]
"(Default)" = "131473"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"
[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\Version]
"(Default)" = "1.0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0]
"(Default)" = "Installer 1.0 Type Library"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\FLAGS]
"(Default)" = "0"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\0\win32]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\1"
[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\1.0\HELPDIR]
"(Default)" = "<полный путь к оригинальному файлу вредоноса>\"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "If3InstallerStart"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid32]
"(Default)" = "{00020424-0000-0000-C000-000000000046}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"
[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\TypeLib]
"Version" = "1.0"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]
"(Default)" = "_If3InstallerStartEvents"
[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\ProxyStubClsid]
"(Default)" = "{00020420-0000-0000-C000-000000000046}" - Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Adware (Adware, Advware, Browser Hijackers) — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной.
За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.
not-a-virus:
- W32/Mywebsearch.
B. gen!Eldorado (FPROT) - Adware.
Funweb. 23 (DrWeb) - Adware.
FunWeb!tRfUv+lMG1Y (VirusBuster) - not-a-virus:
AdWare. Win32. FunWeb (Ikarus) - NseCheckFile2() returned 0x00010018 (Norman)
- MyWebSearch Toolbar (Sunbelt)
- Adware.
FunWeb!tRfUv+lMG1Y (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей