На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)" Музыкальный проект антивирусных специалистов



Главная / Информационная безопасность / Описания вирусов / Hoax

Hoax.Win32.SpyWare.b


Rootkit:  Нет
Видимые проявления:  Модификация рабочего стола
Иконка в трее
Синонимы:  Hoax.Win32.Renos.ci

Состоит из инсталлятора-дроппера размером 58 кб и BHO размером 45 кб.

Инсталлятор скрытно выполняет следующие операции:

1. Создает ключ в реестре HKCU\Software\Internet Explorer BHO, в нем создает два параметра URL=http://www.topadwarereviews.com/?adv=41 и Path = <имя исполняемого файла Hoax>

2. Cоздает файл WINDOWS\system32\bhoimpl.dll азмером 45 кб. В копирайтах файла значится “Microsoft”, в описании – «Pop-up Blocker for IE», что естественно не соответствует истине
3. Регистрирует BHO c CLSID {784aa380-13f2-422e-8540-f2280f1dd4f1}, исполняемый файл C:\WINDOWS\system32\bhoimpl.dll
4. Создает файл WINDOWS\system32\desktop.html и модифицирует настройки рабочего стола, регистрируя этот HTML в качестве элемента ActiveDesktop


5. Запускает Internet Explorer и завершает работу. Режим запуска - с невидимым окном
В ходе запуска IE производится загрузка зарегистрированного BHO. Деятельность BHO проявляется в виде иконки в трее:

Нажатие правой кнопки на иконке приводит к открытию меню с предложением скачать «антивирус», нажатие левой – к открытию URL http://www.topadwarereviews.com/?adv=41

Автоматическое удаление:

1. Исполняемые файлы данного Hoax детектируются AVZ удаляются автоматически с зачисткой ссылок в реестре

2. После удаления исполяемых файлов необходимо применить "Файл/Восстановление системы" и выполнить сброс настроек рабочего стола

Поиск и удаление вручную:

1. Основным симптомом является появление нового BHO, его легко обнаружить в протоколе исследования системы AVZ. Следовательно несложно вычислить принадлежащий Hoax исполняемый файл (его имя может отличаться от bhoimpl.dll)

2. Изучение настроек рабочего стола позволяет обнаружить и удалить добавленный данным Hoax элемент ActiveDesktop

Назад в раздел  





џндекс цитированиЯ
(С) Зайцев О.В.
2003-2016

При использовании любых материалов данного сайта необходимо указывать источник информации.