# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

## Зайцев Олег

Если бы к Adware можно было бы применить термин "эпидемия", то можно было бы констатировать эпидемию Adware.GloboSearch. Данный Adware (лично я бы причислил его к троянам) состоит из единственной dll (на настоящий момент типовое имя - param32.dll, но оно может измениться) небольшого размера (около 15 кб). За прошедшие три дня я получил более десятка сообщений о поражении ПК данным Adware, наиболее подробное описание проблемы есть тут - http://virusinfo.info/index.php?boar...;threadid=1191

Проявления:
1. Подмена стартовой страницы, как правило на http://www.newgenlook.info
2. Появление в трее постороннего значка в виде кружка с крестом, для значка выводятся разные сообщения о якобы обнаруженных атаках и проблемах с безопасностью
3. Периодически выводятся окна с сообщениями о каких-то якобы открытых портах, предупреждениях безопасности ... - естественно поддельные
4. Идет посторонний обмен с http://www.newgenlook.info/ad/ad0237/dating/dating.html

Особенность этого Adware.GloboSearch состоит в том, что он не создает процессы и не внедряется в IE как BHO - его DLL загружается при помощи малоизвестного ключа реестра "SharedTaskScheduler". 
Для детектирования "зверя" в AVZ 3.20 внесены все известные сигнатуры + микропрограмма эвристики для детектирования новых типов. Кроме того, в AVZ для этого "зверя" есть микропрограмма лечения, которая удалит его ключи реестра и удалит сам файл при помощи отложенного удаления.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## azza

systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.

----------


## Зайцев Олег

> systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.


Да, именно так - это AdvWare.Serpo.* по классификации AVP ... 8.7 кб размером, кстати структура DLL очень похожа на param32.dll, не исключено, что у них один автор

----------


## azza

А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?

----------


## Зайцев Олег

> А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?


Сейчас - не проверяет (не понятно, что считать подозрительной записью). А вот лечить -лечит. Но микропрограмма легко может проверить этот список, нужно только определить критерии опасности

----------


## azza

[quote author=Зайцев Олег link=board=22;threadid=1207;start=0#msg11320 date=1114431207]
не понятно, что считать подозрительной записью.[/quote]
Любая запись, за исключением ссылающихся на валидную browseui.dll, подозрительна.

----------

Не обязательно. У меня, например, этот раздел выглядит так:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.

----------


## Зайцев Олег

> Не обязательно. У меня, например, этот раздел выглядит так:
> 
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\SharedTaskScheduler]
> "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
> "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
> 
> Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.


В принципе попробовать действительно можно - месяц назал AVZ ругался на каждую вторую DLL как на "кейлоггер" - очень быстро все известное/безопасное попало в базы ...

----------


## azza

> Не обязательно. У меня, например, этот раздел выглядит так:
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Explorer\SharedTaskScheduler]
> "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
> "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"


Дык и у меня так выглядит. Надо далее открывать соответствующий ключ CLSID, смотреть что там в качестве сервера прописано, и сверять с базой валидных файлов. Если нет в базе или не соответствует, выдавать предупреждение в отчёте.

----------


## ALEX(XX)

Сегодня столкнулся с этой пакостью. Машина с Win98SE. param32.dll оставалась резидентной даже в Safe Mode. Пришлось убивать её вручную в ДОСе.

----------


## Kos

Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!

----------


## Aleksandr

> Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!


Да, программа очень хорошая. И Я Олегу писал. Он откликнулся (в отличии от лаборатории Касперского например). Но в процессе работы, выяснились некоторые недостатки. Все собираюсь написать.  :Cool:

----------

