Hoax.Win32.SpyWare.b

03.08.2006

Hoax.Win32.SpyWare.b

Состоит из инсталлятора-дроппера размером 58 кб и BHO размером 45 кб.

Инсталлятор скрытно выполняет следующие операции:

1. Создает ключ в реестре HKCU\Software\Internet Explorer BHO, в нем создает два параметра URL=http://www.topadwarereviews.com/?adv=41 и Path = <имя исполняемого файла Hoax>

2. Cоздает файл WINDOWS\system32\bhoimpl.dll азмером 45 кб. В копирайтах файла значится “Microsoft”, в описании – «Pop-up Blocker for IE», что естественно не соответствует истине
3. Регистрирует BHO c CLSID {784aa380-13f2-422e-8540-f2280f1dd4f1}, исполняемый файл C:\WINDOWS\system32\bhoimpl.dll
4. Создает файл WINDOWS\system32\desktop.html и модифицирует настройки рабочего стола, регистрируя этот HTML в качестве элемента ActiveDesktop

5. Запускает Internet Explorer и завершает работу. Режим запуска - с невидимым окном
В ходе запуска IE производится загрузка зарегистрированного BHO. Деятельность BHO проявляется в виде иконки в трее:

Нажатие правой кнопки на иконке приводит к открытию меню с предложением скачать «антивирус», нажатие левой – к открытию URL http://www.topadwarereviews.com/?adv=41

Автоматическое удаление:

1. Исполняемые файлы данного Hoax детектируются AVZ удаляются автоматически с зачисткой ссылок в реестре

2. После удаления исполяемых файлов необходимо применить "Файл/Восстановление системы" и выполнить сброс настроек рабочего стола

Поиск и удаление вручную:

1. Основным симптомом является появление нового BHO, его легко обнаружить в протоколе исследования системы AVZ. Следовательно несложно вычислить принадлежащий Hoax исполняемый файл (его имя может отличаться от bhoimpl.dll)

2. Изучение настроек рабочего стола позволяет обнаружить и удалить добавленный данным Hoax элемент ActiveDesktop