На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Adware и SpyWare

AdvWare.Hotbar


Rootkit:  Нет
Синонимы:  AdWare.Win32.Hotbar

AdWare HotBar (по классификации Касперского - AdvWare.Hotbar, но лично я с такой классификацией не согласен) является достаточно распространенным приложением категории SpyWare.
Установка HotBar производится через Интернет, причем для закачки и установки примерняется инсталлятор Hbinst.exe, который можно найти в папке Program Files\hbinst.
Сам HotBar устанавливается в папку Program Files\hotbar (наиболее значимые файлы HbCoreSrv.dll HbHostIE.dll HbHostOE.dll HbHostOL.dll HbInstIE.dll HbSrv.exe HbToolbar.dll Wallpaper.dll), из видимых проявлений можно отметить появление панелей инструментов в InternetExplorer и OutlookExpress.
Кроме того, в SytemTray появляется индикатор погоды, который порождается программой WeatherOnTray.exe (которая так-же находится в папке ProgramFiles\hotbar).
По принципам работы HotBar является явным и очень наглым SpyWare. В частности, при вводе любого URL в браузере он перехватывается и отсылается на сайт dynamic.shopperreports.com. Вот пример "следственного эксперимента" из протоколов сниффера после ввода URL www.ya.ru в строке адреса:
GET http://dynamic.shopperreports.com/Dynamic/Disp/5.0/SiteDisp.dll?GetSDF&Dom=www%2eya%2e ru&path=%2f&SiteVer=0&ExcludeRecordSet=third HTTP/1.0..User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Hotbar 4.5.3.0)..Host: dynamic.shopperreports.com..Proxy-Connection: Keep-Alive....
Комментарии, надеюсь, излишни - это явный SpyWare, который следит за работой в Инет и передает введенные адреса и параметры на сайт http://dynamic.shopperreports.com/.

Кроме того, замечен оживленный обмен с сайтом http://adopt.hotbar.com - вот пример
http://adopt.hotbar.com/adopt.jsp?l=2222& sz=pop& pc=&g=& bnum=978346& dom=www%2eozon%2eru&sg=sg775&cid=803C90BE4B32D911B8870003FF54FF2
Этот пакет захвачен в момент нахождения на сайте магазина ozon.

При инсталляции HotBar потребляет приличный объем трафика, на диске он занимает около 6 МБ. Кроме того, при установке Hotbar ставится еще один продукт - ShopperReports (и первый пакет и приведенных в этом описании - именно для службы ShopperReports). Он устанавливается в папку ProgramFiles\ShopperReports.

Рекомендации:
Удалить HotBar и все его компоненты с диска, удалив папки

Program Files\hbinst, ProgramFiles\hotbar

ProgramFiles\ShopperReports

или попробовать деинсталлировать его (если в "установка/удаление программ" есть деинсталлятор).
Опыты показали, что деинсталлятор есть не всегда и деинсталляция не является чистой.
В новых версиях HotBar обнаружена небольшая программа, которая прописывается в автозапуск и в случае удаления HotBar пытается его восстановить.

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.