На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Adware и SpyWare

Adware.Win32.Look2me.ab


Видимые проявления:  Вывод окон IE с рекламой, в основном с сайта www.ad-w-a-r-e.com
Замедление работы ПК
"Неудаляемые" элементы Winlogon и расширения проводника

Adware.Win32.Look2me наиболее "знаменит" тем, что это один из наиболее сложноудаляемых AdWare.

Файлы Adware.Look2me размещаются в папке System32 и имеют имена типа lvlm0931e.dll, sMfrcdlg.dll, azam0931e.dll, noxpnt.dll, guard.tmp ... - имена файлов изменяются после каждой перезагрузки, что затрудняет их удаление при помощи отложенного удаления и делает невозможным поиск файлов по характерным именам. Исключение из этого правила - файл с именем guard.tmp, который по статистике встречается чаще всего.

Размер файлов составляет около 220-230 кб и меняется от версии к версии (например, у одного из образцов размер был равен 234488 байт), атрибуты - "системный" и "только чтение".

Для автозагрузки своих DLL Look2me применяет две методики:

  • Регистрирует в реестре расширение Winlogon
  • Регистрирует в реестре расширение проводника (Explorer)

Имена создаваемых Look2me ключей реестра тоже изменяются после каждой перезагрузки.

Применение двух методик автозапуска (и соответственно загрузка одной DLL в процесс Winlogon, а второй - в процесс explorer) является дополнительной мерой защиты на случай, если пользователь удалит одну из библиотек или обнаружит и удалит один из ключей автозапуска.

В процессе работы Look2me активно защищает созданные им ключи реестра и файлы. Защита ключей реестра основана на  их пересоздания с высокой частотой (что делает бесполезным их удалений вручную или  при помощи менеджеров автозапуска), защита файлов достигается их открытием в режиме монопольного доступа.

Диагностика:

  1. В теле принадлежащих Adware.Look2me DLL открытым текстом видны строки "Look2Me" и "http://www.ad-w-a-r-e.com/eula.html". Файлы имеют атрибуты "системный" и "только чтение", зарегистрированы как расширение Winlogon и Explorer.
  2. Постоянные обращения процесса winlogon.exe к ключу  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify (может быть обнаружено утилитой RegMon).

Удаление вручную:

  1. Закрыть все запущенные приложения
  2. Запустить AVZ и активировать AVZ Guard
  3. При помощи отложенного удаления AVZ (Файл/отложенное удаление) произвести удаления принадлежащих Look2me файлов.
  4. В диспетчере автозапуска в секции Winlogon удалить элементы, ссылающиеся на файлы look2me
  5. В диспетчере расширений проводника удалить  элементы, ссылающиеся на файлы look2me
  6. Выйти из AVZ не выключая AVZ Guard
  7. Перезагрузиться. После перезагрузки убедиться, что принадлежащие look2me файлы удалены.

 

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.