Показано с 1 по 3 из 3.

Spy.SaveNow

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Spy.SaveNow

    Олег! Подскажи пожалуйста(при возможности), что за шпиона удалила АВЗ, моя дочь в мое отсутствие поставила скринсейвер(Living Waterfalls Screensaver - Free Version), с последнего диска HARD SOFT, я на всякий случай решил проверить (появилась новая запись в автозагрузке) и нашел шпиона, хотя диск не сомнительный уважаемого журнала. Екзешник в архиве я решил не высылать, ведь он есть в вирусной базе.
    Сканирование запущено в 06.02.2005 16:13:25
    В базе 9063 сигнатур вирусов
    1. Проверка памяти
    Количество найденных процессов: 31
    c:\program files\savenow\savenow.exe>>>>> Вирус !! Spy.SaveNow ошибка удаления
    Количество загруженных модулей: 392
    c:\program files\savenow\savenow.exe>>>>> Вирус !! Spy.SaveNow успешно удален
    Проверка памяти завершена
    2. Сканирование диска
    c:\Program Files\SaveNow\Uninst.exe>>>>> Вирус !! Spy.SaveNow успешно удален
    Просканировано файлов: 11024, найдено вирусов 3
    Сканирование завершено в 06.02.2005 16:16:19
    Внимание !!! Для завершения процесса лечения необходима перезагрузка

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380

    Re:Spy.SaveNow

    Это обширное семейство, так что для конкреного описания можно прислать образец, я расскажу конкретно о нем. Если брать свежайший с таким-же именем, то можно сказать следующее:
    Это типичный Spy (или уж если точнее - программа-паразит). Ставится скрытно, обычно при инсталляции бесплатных скринсейвером или разных медиаплэйеров с
    сомнительных сайтов. Первичное назначение - шпион. При запуске скрытно размещается в памяти (ничем не выдавая своей работы), шпионит за посещаемыми URL. Чтобы не быть голословным, я как обычно приведу пару фрагментов из обмена - я открыл на зараженной машине браузер и посетил www.ya.ru. Тут же произошел обмен:
    Код:
    GET http://web.whenu.com/heartbeat? program=savenow&partner=&id=077AF602786111D9B8870003FF54FF2D/f669ad223f091ca18d83e7c2cb716422&ver=&diag=1 HTTP/1.0
    Accept: */ *
    Proxy-Connection: Keep-Alive
    User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
    Host: web.whenu.com
    Pragma: no-cache
    Т.е. мне присвоили некий ID. Причем обмен с сайтом произошел в момент закачки данных с яндекс - для маскировки обмена.
    Во время работы процесс savenow.exe шпионит за работой в Инет достаточно простым способом - он следит за кешем IE (и постоянно перепрочитывает index.dat)
    Накопленные данные некоторые разновидности SaveNow хранят в зашифрованном файле - файл обычно называется save.db. Далее как обычно - на основании собранной информации выводится контекстная реклама.

    В комплекте в каждой разновидностью идет ReadMe.txt, в котором рассказано, что это не шпион и что всплывающие окна очень полезны
    Есть еще вариант ClockSync (процесс Sync.exe), который синхронизирует часы (и крутит рекламу ...) и WhenUSearch - BHO для браузера

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Re:Spy.SaveNow

    Олег спасибо за разъяснения, в инете есть публикации но у тебя более подробно.( Одна из самых распространенных разновидностей паразитного ПО разработана компанией WhenU.com и называется SaveNow. Эта программа распространяется с BearShare, iMesh и плеером Global DivX, позволяющим просматривать большинство онлайновых кинофильмов. Она наблюдает за действиями пользователя, а затем в отдельном окне браузера показывает целенаправленную рекламу или делает специальные предложения. В отличие от некоторого другого spyware, это не отправляет сведения в хозяйскую компанию, но постоянно загружает новые объявления и ведет учет онлайновых точек, посещаемых владельцем компьютера. Оно работает постоянно — даже когда доставившая его программа не загружена.
    В онлайновых форумах рекламное ПО критикуют за нарушение privacy и отрицательное влияние на производительность компьютера. «SaveNow кишит багами и нагружает канал связи, — пишет пользователь BearShare и основатель студии веб-дизайна NetStudio Маниш Вий (Manish Vij). — Каждый раз, когда я запускаю браузер, SaveNow активизируется и занимает мой сетевой канал»).
    Я в основном пользуюсь браузером лисой, но на всякий случай прогнал ad-аware ArchiveData(auto-quarantine- 2005-02-06 17-12-08.bckp)
    Referencefile : SE1R26 25.01.2005
    ================================================== ====

    WHENU
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=Ключ регистра : software\whenu

    TRACKING COOKIE
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[1]=IECache Entry : Cookie:пользователь@2o7.net/ Я понимаю, что WHENU
    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
    obj[0]=Ключ регистра : software\whenu - это и есть остатки SaveNow после АВЗ и их наверно следует удалить. К сожалению не сохранил екзешник поторопился с удалением.
    Кстати получается, что даже на нормальных дисках уважаемого журнала можно получить шпиона (правда установленный скринсейвер работает).

Похожие темы

  1. AdvWare.Win32.SaveNow.bi
    От никита никитин в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 10.02.2012, 15:37
  2. AdvWare.Win32.SaveNow.by
    От ayf в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 19.10.2008, 00:24
  3. ???AdvWare.Win32.SaveNow.bo???
    От Tiberius в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 03.12.2007, 23:02
  4. not-a-virus:AdWare.Win32.SaveNow.bo
    От ScratchyClaws в разделе Вредоносные программы
    Ответов: 6
    Последнее сообщение: 17.04.2006, 16:32

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01527 seconds with 19 queries