Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (-PE-DLL файл)-.
Вредоносная программа является частью другой вредоносной программы рекламного характера. Является динамической библиотекой Windows (PE-DLL файл). Имеет размер 213111 байт. Написана на C++.
name="doc3">
Деструктивная активность
Библиотека является одним из компонентов программы "My Web Search Toolbar". Данная программа представляет собой поисковую панель для браузеров Internet Explorer и Mozilla Firefox. Программа отслеживает поисковые запросы, вводимые пользователем, и отправляет полученные результаты в HTTP-запросах на следующие сервера:
im***rm.comsmil***eator.comka***lah.commy***arch.comiw***n.compopul***ensavers.comcurs***nia.comm***cards.comzw***ky.comwe**etti.comsmil***raldev.comfun***roductsdev.comsmi***entral.comfunw***oducts.comПоисковая панель имеет вид:
Рассматриваемая библиотека сохраняется в системе как
%Program Files%\FunWebProducts\Installr\1.bin\F3EZSETP.DLLи содержит функционал, обеспечивающий регистрацию вредоноса в системном реестре, а также поиск и загрузку обновлений.
Создаются следующие ключи системного реестра:
[HKLM\Software\FunWebProducts\Installer]"PluginPath" = "%WorkDir%"[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Загрузка обновлений осуществляется по следующим ссылкам:
PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]"(Default)"[HKLM\Software\MozillaPlugins\@funw***ducts.com/Plugin]"Description" = "Fun Web Products Plugin""Path" = "%WorkDir%\NPFunWeb.dll""vendor" = "Fun Web Products""version" = "1.1.0.0"[HKLM\Software\MozillaPlugins\@funw***ducts.com/Plugin\
MimeTypes\application/x-f3-funwebplugin]"Description" = "Fun Web Products Plugin""Suffixes" = "f3p"[HKCR\FunWebProductsInstaller.Start.1]"(Default)" = "Fun Web Products Installer Start"[HKCR\FunWebProductsInstaller.Start.1\CLSID]"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"[HKCR\FunWebProductsInstaller.Start]"(Default)" = "Fun Web Products Installer Start"[HKCR\FunWebProductsInstaller.Start\CLSID]"(Default)" = "{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}"[HKCR\FunWebProductsInstaller.Start\CurVer]"(Default)" = "FunWebProductsInstaller.Start.1"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}]"(Default)" = "Fun Web Products Installer Start"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\ProgID]"(Default)" = "FunWebProductsInstaller.Start.1"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
\VersionIndependentProgID]"(Default)" = "FunWebProductsInstaller.Start"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
InprocServer32]"(Default)" = "<полный путь к оригинальному файлу вредоноса>""ThreadingModel" = "Apartment"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
MiscStatus]"(Default)" = "0"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
MiscStatus\1]"(Default)" = "131473"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
TypeLib]"(Default)" = "{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB}"[HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}\
Version]"(Default)" = "1.0"[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0]"(Default)" = "Installer 1.0 Type Library"[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0\FLAGS]"(Default)" = "0"[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0\0\win32]"(Default)" = "<полный путь к оригинальному файлу вредоноса>\1"[HKCR\TypeLib\{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}\
1.0\HELPDIR]"(Default)" = "<полный путь к оригинальному файлу вредоноса>\"[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}]"(Default)" = "If3InstallerStart"[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid]"(Default)" = "{00020424-0000-0000-C000-000000000046}"[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid32]"(Default)" = "{00020424-0000-0000-C000-000000000046}"[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib]"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"[HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib]"Version" = "1.0"[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}]"(Default)" = "_If3InstallerStartEvents"[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid]"(Default)" = "{00020420-0000-0000-C000-000000000046}"[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
ProxyStubClsid32]"(Default)" = "{00020420-0000-0000-C000-000000000046}"[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib]"(Default)" = "{1D4DB7D0-6EC9-47A3-BD87-1E41684E07BB}"[HKCR\Interface\{1D4DB7D3-6EC9-47A3-BD87-1E41684E07BB}\
TypeLib]"Version" = "1.0"
http://dp.smil***ntral.com/download/redir.jhtml?dest=На момент создания описания указанные ссылки не работали.
faqs&product=myfuncardshttp://dp.smil***ntral.com/download/redir.jhtml?dest=
privacy&product=myfuncards