| Время детектирования |
24 авг 2007 18:03 MSK |
| Время выпуска обновления |
24 авг 2007 18:03 MSK |
| Описание опубликовано |
09 окт 2009 11:31 MSK |
Технические детали
Потенциально нежелательная программа. Программа является приложением Windows (PE EXE-файл). Имеет размер 141001 байт. Упакована при помощи nSpack и ASPack. Распакованный размер – около 583 КБ. Написана на C++.
Деструктивная активность
После активации программа устанавливает компонент панели инструментов "Baidu Toolbar" для Internet Explorer. Компонент представляет собой Internet Explorer Browser Helper Object (BHO), стартующий при запуске Internet Explorer, который показывает рекламу в рамках данной интернет - сессии. Файлы BHO - компонента помещаются в следующие каталоги:
%ProgramFiles%\MMSAssist\MMSASS~1.DLL
%System%\stdup.dll
%Temp%\mq\.dll
Где - случайная последовательность букв латинского алфавита, например "wege.dll". При регистрации компонента в системе создаются следующие ключи системного реестра:
[HKLM\Software\Classes\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}]
[HKLM\Software\Classes\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6671A431-5C3D-463d-A7CF-5587F9B7E191}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
Компонент извлекает из своего тела драйвер под именем "$DRVNAM$":
%System%\drivers\$DRVNAM$.sys
Программа выполнена в виде драйвера ядра NT (kernel mode driver). Имеет размер 28672 байта и детектируется Антивирусом Касперского, как not-a-virus_AdWare.Win32.Boran.z. Для автоматического запуска драйвера при следующем старте создается следующая служба:
[HKLM\System\CurrentControlSet\Services\$DRVNAM$]
"DisplayName" = " $DRVNAM$"
"ImagePath" = "%System\drivers\$DRVNAM$.sys"
"Group" = "FSFilter Activity Monitor"
"ErrorControl" = "0"
"Start" = "0"
"Type" = "2"
Драйвер скрывает, блокирует удаление ключей реестра установленного BHO - компонента при помощи подмены обработчиков следующих функций:
NtDeleteKey
NtSetValueKey
NtDeleValueKey
NtEnumerateKey
NtEnumerateValueKey
в KeServiceDescriptorTable.
Программа может загружать обновления со следующего Интернет - ресурса:
http://updat*****ander.cn
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
-
При помощи ( "Диспетчера задач") завершить троянский процесс.
-
Удалить ключи (системного реестра):
HKLM\Software\Classes\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}]
[HKLM\Software\Classes\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{6671A431-5C3D-463d-A7CF-5587F9B7E191}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
-
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
-
Удалить файлы:
%ProgramFiles%\MMSAssist\MMSASS~1.DLL
%System%\stdup.dll
%Temp%\mq\.dll
-
Очистить каталог временных файлов текущего пользователя Windows.
-
Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами
|
