16.02.2005
Adware.AdmilliService
Admilli Service является разновидностью SpyWare.WinAd (возможно, у них один создатель или они писались на основе общих исходников).
В базы AVZ этот SpyWare попал как Spy.WinAd.g
Проявляется Spy.WinAd.g как два процесса в памяти с именами AdmilliServ.exe и AdmilliKeep.exe. Процессы неубиваемы, т.к. контролируют свое наличие крест-накрест (при остановке одного второй его тут-же перезапускает).
Загрузка программы происходит при старте системы, запуск идет через ключ Run реестра.
Сама программа размещается в каталоге Program Files\Admilli Service, в этой папке имеется три компонента:
AdmilliComm.dll - 60928 сайт, сжат UPX, импортирует функции для работы с сетью. Содержит адрес http://public.windupdates.com, с которого по всей видимости качает обновления
AdmilliKeep.exe - 17920 байт, сжат UPX
AdmilliServ.exe - 26112 байт, сжат UPX
Инсталлируется это все скрытно из Интернет, при помощи ActiveX загрузчика AdmilliServX.dll, имеющего размер 23040 байт (загрузчик тоже сжат UPX). Загрузка ведется с сайта http://static.windupdates.com.
В некоторых случаях на компьютере можно найти деинсталлятор, который обращается на сайт http://www.windupdates.com/remove...Admilli+Service - на этой странице предлагается скачать одну из программ для чистки компьютера от SpyWare.
Любопытен факт, что autoexec.bat за 15 мин. тестов эта версия не стерла, хотя ссылка на autoexec.bat и autoexec.nt в теле AdmilliServ.exe есть, более того, есть программный код для их уничтожения.
В ходе работы программа создает в папке System файл ide21201.vxd (этот файл хранится внутри AdmilliServ.exe, размер 4720 байт).