Technické detaily
Tento adware je určen k přesměrování uživatele vyhledávacích dotazů na jiné webové zdroje. Je to aplikace Windows (PE EXE soubor). To je 1 416 432 bytů. Je napsán v C + +.
Instalace
Tento malware se nainstaluje jako Browser Add-in.
Internet Explorer
Google Chrome
Mozilla Firefox
Jakmile spuštění malwaru provede následující akce:- Aby bylo zajištěno, že jeho proces je jedinečný v rámci systému, vytvoří jedinečný identifikátor:
ps_installer_ps
- Pokud je aktuální uživatel nemá administrátorská práva, zobrazí se následující zpráva:
- Extrahuje soubory z jeho těla, které jsou uloženy v systému
% Program Files% \ PlaySushi \ psuninst.exe (188928 bytes) % Program Files% \ PlaySushi \ PSText.dll (356352 bytes) % Program Files% \ PlaySushi \ icon.ico (17542 bajtů) (5031 bajtů) (177 bajtů) (198144 bytes) (1338 áàéò) (469 áàéò)
- To vytváří následující klíče systémového registru:
[HKLM \ Software \ AppDataLow \ PlaySushi] "Autoupd" = "1" "Snoozetime" = "64 EF 7D 4D 00 00 00 00" "Updatcncl" = "0" "Updtcnt" = "0" "Updtfailed" = "0" "Uid" = "5ab819ab-2aaf-4a93-b895-d61f19aa1b42" "Lístek" = "HbAA38081000SPWXLa2h" [HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ Playsushi] "DisplayName" = "PlaySushi" "DisplayIcon" = "Soubory% Program% \ PlaySushi \ psuninst.exe" "Vydavatel" = "www.playsushi.com" "NoRepair" = "1" "NoModify" = "1" "UninstallString" = "Soubory% Program% \ PlaySushi \ psuninst.exe" "RecordedProfilePath" = "S-1-5-21-606747145-1060284298-839522115-1003"
- To používá "regsvr32.exe" nástroj pro registraci do systému již vytěžené "Stet.dll" knihovny. Činí tak tím, že vypustí na "cmd.exe" interpret příkazů s následujícími parametry:
/ C regsvr32.exe / s "% Program Files% \ PlaySushi \ PSText.dll"
Následující klávesy systémového registru jsou vytvořeny:[HKCR \ AppID \ {E89A07B5-BD7A-43F9-BDA4-0DAA48AC4FA5}] "(Výchozí)" = "PlaySushi32" [HKCR \ AppID \ PSText.DLL] "AppID" = "{E89A07B5-BD7A-43F9-BDA4-0DAA48AC4FA5}" [HKCR \ PSText.IEButton.1] "(Výchozí)" = "IEButton třídy" [HKCR \ PSText.IEButton.1 \ CLSID] "(Výchozí)" = "{EBD24BD3-E272-4FA3-A8BA-C5D709757CAB}" [HKCR \ PSText.IEButton] "(Výchozí)" = "IEButton třídy" [HKCR \ PSText.IEButton \ CLSID] "(Výchozí)" = "{EBD24BD3-E272-4FA3-A8BA-C5D709757CAB}" [HKCR \ PSText.IEButton \ KŘIVKA] "(Výchozí)" = "PSText.IEButton.1" [HKCR \ CLSID \ {EBD24BD3-E272-4FA3-A8BA-C5D709757CAB}] "(Výchozí)" = "GoClient" [HKCR \ CLSID \ {EBD24BD3-E272-4FA3-A8BA-C5D709757CAB} \ ProgID] "(Výchozí)" = "PSText.IEButton.1" [HKCR \ CLSID \ {EBD24BD3-E272-4FA3-A8BA-C5D709757CAB} \ VersionIndependentProgID] "(Výchozí)" = "PSText.IEButton" [HKCR \ CLSID \ {EBD24BD3-E272-4FA3-A8BA-C5D709757CAB} \ InprocServer32] "(Výchozí)" = "Soubory% Program% \ PlaySushi \ PSText.dll" "ThreadingModel" = "Apartment" [HKCR \ CLSID \ {EBD24BD3-E272-4FA3-A8BA-C5D709757CAB} \ typelib] "(Výchozí)" = "{975BBCC0-19DF-47C2-9AE2-D78EEFA96821}" [HKCR \ PlaySushi32.PlaySushi.1] "(Výchozí)" = "PlaySushi" [HKCR \ PlaySushi32.PlaySushi.1 \ CLSID] "(Výchozí)" = "{21608B66-026F-4DCB-9244-0DACA328DCED}" [HKCR \ PlaySushi32.PlaySushi] "(Výchozí)" = "PlaySushi" [HKCR \ PlaySushi32.PlaySushi \ CLSID] "(Výchozí)" = "{21608B66-026F-4DCB-9244-0DACA328DCED}" [HKCR \ PlaySushi32.PlaySushi \ KŘIVKA] "(Výchozí)" = "PlaySushi32.PlaySushi.1" [HKCR \ CLSID \ {21608B66-026F-4DCB-9244-0DACA328DCED}] "(Výchozí)" = "PlaySushi" [HKCR \ CLSID \ {21608B66-026F-4DCB-9244-0DACA328DCED} \ ProgID] "(Výchozí)" = "PlaySushi32.PlaySushi.1" [HKCR \ CLSID \ {21608B66-026F-4DCB-9244-0DACA328DCED} \ VersionIndependentProgID] "(Výchozí)" = "PlaySushi32.PlaySushi" [HKCR \ CLSID \ {21608B66-026F-4DCB-9244-0DACA328DCED} \ InprocServer32] "(Výchozí)" = "Soubory% Program% \ PlaySushi \ PSText.dll" "ThreadingModel" = "Apartment" [HKCR \ CLSID \ {21608B66-026F-4DCB-9244-0DACA328DCED} \ typelib] "(Výchozí)" = "{975BBCC0-19DF-47C2-9AE2-D78EEFA96821}" [HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {21608B66-026F-4DCB-9244-0DACA328DCED}] "(Výchozí)" = "PlaySushi" "NoExplorer" = "1" [HKCR \ typelib \ {975BBCC0-19DF-47C2-9AE2-D78EEFA96821} \ 1.0] "(Výchozí)" = "PlaySushi32 1,0 Typ knihovna" [HKCR \ \ {typelib 975BBCC0-19DF-47C2-9AE2-D78EEFA96821} \ 1.0 \ VLAJKY] "(Výchozí)" = "0" [HKCR \ typelib \ {975BBCC0-19DF-47C2-9AE2-D78EEFA96821} \ 1.0 \ 0 \ win32] "(Výchozí)" = "Soubory% Program% \ PlaySushi \ PSText.dll" [HKCR \ typelib \ {975BBCC0-19DF-47C2-9AE2-D78EEFA96821} \ 1.0 \ HELPDIR] "(Výchozí)" = "Soubory% Program% \ PlaySushi" [HKCR \ Interface \ {F165085B-6B85-4AD5-AD00-95552A823F6D}] "(Výchozí)" = "_IPluginEvents" [HKCR \ Interface \ {F165085B-6B85-4AD5-AD00-95552A823F6D} \ ProxyStubClsid] "(Výchozí)" = "{00020420-0000-0000-C000-000000000046}" [HKCR \ Interface \ {F165085B-6B85-4AD5-AD00-95552A823F6D} \ ProxyStubClsid32] "(Výchozí)" = "{00020420-0000-0000-C000-000000000046}" [HKCR \ Interface \ {F165085B-6B85-4AD5-AD00-95552A823F6D} \ typelib] "(Výchozí)" = "{975BBCC0-19DF-47C2-9AE2-D78EEFA96821}" "Verze" = "1.0" [HKCR \ Interface \ {5272CCD4-4199-4B04-BF68-B28A0DCF0151}] "(Výchozí)" = "IPlugin" [HKCR \ Interface \ {5272CCD4-4199-4B04-BF68-B28A0DCF0151} \ ProxyStubClsid] "(Výchozí)" = "{00020424 - 0000-0000-C000-000000000046}" [HKCR \ Interface \ {5272CCD4-4199-4B04-BF68-B28A0DCF0151} \ ProxyStubClsid32] "(Výchozí)" = "{00020424 - 0000-0000-C000-000000000046}" [HKCR \ Interface \ {5272CCD4-4199-4B04-BF68-B28A0DCF0151} \ typelib] "(Výchozí)" = "{975BBCC0-19DF-47C2-9AE2-D78EEFA96821}" "Verze" = "1.0" [HKCR \ Interface \ {45A8F904-D9CA-439B-9CBB-11097B45D9E1}] "(Výchozí)" = "IIEButton" [HKCR \ Interface \ {45A8F904-D9CA-439B-9CBB-11097B45D9E1} \ ProxyStubClsid] "(Výchozí)" = "{00020424 - 0000-0000-C000-000000000046}" [HKCR \ Interface \ {45A8F904-D9CA-439B-9CBB-11097B45D9E1} \ ProxyStubClsid32] "(Výchozí)" = "{00020424 - 0000-0000-C000-000000000046}" [HKCR \ Interface \ {45A8F904-D9CA-439B-9CBB-11097B45D9E1} \ typelib] "(Výchozí)" = "{975BBCC0-19DF-47C2-9AE2-D78EEFA96821}" "Verze" = "1.0"
- Následující oken se zobrazí během instalace škodlivého softwaru:
- Během instalace se může malware nainstalovat následující aplikace na infikovaném počítači:
Stolní počasí Zeptejte se Toolbar Dogpile Toolbar XOBNI Outlook Plugin Dealio Toolbar McAfee Security Scan Obchod vyhrát 8
Stáhne své instalační soubory z následujících odkazů:http://www.pla *** hi.com / download / dogpiletoolbar / Dogpile_Toolbar.exe http://web1.pl *** dn.com / download / dogpiletoolbar / Dogpile_Toolbar.exe http://www.pla *** shi.com/download/asktoolbar/ask1910.exe http://web1.pl *** n.com/download/asktoolbar/ask1910.exe http://www.pla *** shi.com / download / xobni / XobniSetup.exe http://www.pla *** shi.com / download / xobni / XobniSetup.exe http://downlo *** serbar.com/kits/963557/DealioToolbar-stub-1.exe http://downlo *** her.com/web/dwzeus/dw6/install/stub/sushiif_StubInstaller.exe http://web1.pl *** dn.com/download/shoptowin/ShopToWin8_FF.exe http://www.pl *** ushi.com/download/shoptowin/ShopToWin8_FF.exe http://web1.pl *** dn.com / download / McAfee / mss_generic.exe http://www.pl *** shi.com / download / McAfee / mss_generic.exe
Stažené soubory se ukládají do aktuálního uživatele dočasné soubory adresáři "%% Temp" pomocí následující názvy:% TEMP% \ Dogpile_Toolbar.exe % TEMP% \ ask1910.exe % TEMP% \ XobniSetup.exe % TEMP% \ DealioToolbar-stub-1.exe % TEMP% \ sushiif_StubInstaller.exe % TEMP% \ ShopToWin8_FF.exe % TEMP% \ mss_generic.exe
Po stažení soubory jsou zahájeny na popravu. - Přináší novou systému příkazového interpretu "cmd.exe" s následujícími parametry:
/ C rundll32.exe "% \ Program Files% \ PlaySushi \ PSText.dll", ShowWelcomePage "
To vede k volání funkce "ShowWelcomePage" v "PSText.dll" knihovna dříve extrahovanou malware.Tato funkce zobrazí následující okno v pravém dolním rohu obrazovky: - To spouští aplikaci Internet Explorer ("iexplore.exe" proces) s "-nohome" parametr.
Užitečná
Hlavní funkcí tohoto malwaru je realizován již vytěžených knihovny:
Soubory% Program% \ PlaySushi \ PSText.dll
Malware může sledovat a přesměrovává dotazy vyhledávání, vstupní uživatel na Google vyhledávače stránek. V odezvě, uživatel je uveden seznam odkazů přijatých ze serveru:playsushi.com
Malware může také aktualizovat sám obrátit na následující odkaz:http://pla *** shi.com / index.php? page = client.Update
Odstranění návod
Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
- Odstranění původní Trojan soubory jeho umístění bude záviset na tom, jak program původně pronikl infikovaný počítač).
- Zavřete prohlížeče:
Internet Explorer Google Chrome Mozilla Firefox
- Zrušit registraci "PSText.dll" knihovny. K tomu, spusťte "regsvr32.exe" systémový nástroj s následujícími parametry:
/ U "% Program Files% \ PlaySushi \ PSText.dll"
- Odstraňte následující klíče systémového registru (viz Co je to systémový registr a jak se používá? ):
[HKLM \ Software \ AppDataLow \ PlaySushi] "Autoupd" = "1" "Snoozetime" = "64 EF 7D 4D 00 00 00 00" "Updatcncl" = "0" "Updtcnt" = "0" "Updtfailed" = "0" "Uid" = "5ab819ab-2aaf-4a93-b895-d61f19aa1b42" "Lístek" = "HbAA38081000SPWXLa2h" [HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ Playsushi] "DisplayName" = "PlaySushi" "DisplayIcon" = "Soubory% Program% \ PlaySushi \ psuninst.exe" "Vydavatel" = "www.playsushi.com" "NoRepair" = "1" "NoModify" = "1" "UninstallString" = "Soubory% Program% \ PlaySushi \ psuninst.exe" "RecordedProfilePath" = "S-1-5-21-606747145-1060284298-839522115-1003"
- Odstraňte následující soubory:
Soubory% Program% \ PlaySushi \ psuninst.exe Soubory% Program% \ PlaySushi \ PSText.dll Soubory% Program% \ PlaySushi \ icon.ico % TEMP% \ Dogpile_Toolbar.exe % TEMP% \ ask1910.exe % TEMP% \ XobniSetup.exe % TEMP% \ DealioToolbar-stub-1.exe % TEMP% \ sushiif_StubInstaller.exe % TEMP% \ ShopToWin8_FF.exe % TEMP% \ mss_generic.exe
Žádné komentáře:
Okomentovat