-
Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Если бы к Adware можно было бы применить термин "эпидемия", то можно было бы констатировать эпидемию Adware.GloboSearch. Данный Adware (лично я бы причислил его к троянам) состоит из единственной dll (на настоящий момент типовое имя - param32.dll, но оно может измениться) небольшого размера (около 15 кб). За прошедшие три дня я получил более десятка сообщений о поражении ПК данным Adware, наиболее подробное описание проблемы есть тут - http://virusinfo.info/index.php?boar...;threadid=1191
Проявления:
1. Подмена стартовой страницы, как правило на http://www.newgenlook.info
2. Появление в трее постороннего значка в виде кружка с крестом, для значка выводятся разные сообщения о якобы обнаруженных атаках и проблемах с безопасностью
3. Периодически выводятся окна с сообщениями о каких-то якобы открытых портах, предупреждениях безопасности ... - естественно поддельные
4. Идет посторонний обмен с http://www.newgenlook.info/ad/ad0237/dating/dating.html
Особенность этого Adware.GloboSearch состоит в том, что он не создает процессы и не внедряется в IE как BHO - его DLL загружается при помощи малоизвестного ключа реестра "SharedTaskScheduler".
Для детектирования "зверя" в AVZ 3.20 внесены все известные сигнатуры + микропрограмма эвристики для детектирования новых типов. Кроме того, в AVZ для этого "зверя" есть микропрограмма лечения, которая удалит его ключи реестра и удалит сам файл при помощи отложенного удаления.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Visiting Helper
- Вес репутации
- 75
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Сообщение от
azza
systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.
Да, именно так - это AdvWare.Serpo.* по классификации AVP ... 8.7 кб размером, кстати структура DLL очень похожа на param32.dll, не исключено, что у них один автор
-
-
Visiting Helper
- Вес репутации
- 75
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Сообщение от
azza
А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?
Сейчас - не проверяет (не понятно, что считать подозрительной записью). А вот лечить -лечит. Но микропрограмма легко может проверить этот список, нужно только определить критерии опасности
-
-
Visiting Helper
- Вес репутации
- 75
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
[quote author=Зайцев Олег link=board=22;threadid=1207;start=0#msg11320 date=1114431207]
не понятно, что считать подозрительной записью.[/quote]
Любая запись, за исключением ссылающихся на валидную browseui.dll, подозрительна.
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Не обязательно. У меня, например, этот раздел выглядит так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Сообщение от
HEKTO
Не обязательно. У меня, например, этот раздел выглядит так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.
В принципе попробовать действительно можно - месяц назал AVZ ругался на каждую вторую DLL как на "кейлоггер" - очень быстро все известное/безопасное попало в базы ...
-
-
Visiting Helper
- Вес репутации
- 75
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Сообщение от
HEKTO
Не обязательно. У меня, например, этот раздел выглядит так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
Дык и у меня так выглядит. Надо далее открывать соответствующий ключ CLSID, смотреть что там в качестве сервера прописано, и сверять с базой валидных файлов. Если нет в базе или не соответствует, выдавать предупреждение в отчёте.
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Сегодня столкнулся с этой пакостью. Машина с Win98SE. param32.dll оставалась резидентной даже в Safe Mode. Пришлось убивать её вручную в ДОСе.
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!
-
-
Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)
Сообщение от
Kos
Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!
Да, программа очень хорошая. И Я Олегу писал. Он откликнулся (в отличии от лаборатории Касперского например). Но в процессе работы, выяснились некоторые недостатки. Все собираюсь написать.
-