úterý 8. května 2012

not-a-virus: AdWare.Win32.WhiteSmoke.a


Technické detaily

Tento program si stáhne různé malware z internetu a nainstaluje ji bez vědomí uživatele. Je to aplikace Windows (PE EXE soubor). To je 129 288 bytů. To je zabalena pomocí UPX. Vybaleno souboru je přibližně 404 KB ve velikosti. Je napsán v C + +.

Užitečná

Jakmile trh, Trojan kontroluje aktuální uživatelských oprávnění správce, a pokud chybí, zobrazí se následující zpráva:
To provede následující akce:
  • Po spuštění se zobrazí následující okno:
  • Při spuštění programu se vytvoří následující jedinečné identifikátory:
    {FF4E366C-EB6E-4387-968D-B97175E24D5A}
Globální \ WST2010_Feature_ <rnd>
Globální \ {WST2010_ 58343C24-CB4B-4a57-9B4D-E3DD88463B62} _INITIALIZE
    <rnd> kde je náhodná posloupnost čísel.
  • To vytváří následující klíče systémového registru:
    [HKCU \ Environment]
"WS_TARGET_DIR" = "Soubory% Program% \ \ WhiteSmoke Tlumočník"

[HKLM \ Software \ WhiteSmokeTranslator]
"InstallOption" = dword: 0000000e
"DistID" = dword: 0000138a
  • V současné uživatele dočasného adresáře se vytvoří následující adresáře:
    % TEMP% \ ~ nsu.tmp \
    Jestliže program klade následující soubory:
    % TEMP% \ ~ nsu.tmp \ wsget.exe
    Soubor je 61 952 bytů.
    MD5: CB40B57461F84E92BA68DD6A77B0675D
    SHA1: FF5C21B8753BF9BA3402059CD98AC3A32F19E82F
    % TEMP% \ ~ nsu.tmp \ boost.ico
    Soubor je 13 942 bytů.
    MD5: 576AE10DD9F5521A3285163D31EBD277
    SHA1: 4D88D461ED307F6949FE51F4698C35767FEF8D84
    Trojan také vytvoří následující soubory (kde <uživatel> je název aktuální uživatelský účet):
    % Documents and Settings% \ All Users \ Nabídka Start \ Programy \ Po spuštění \ WhiteSmoke Translator.lnk
% Documents and Settings% \ <uživatel> \ Desktop \ WhiteSmoke (pokračování instalace). LNK

% Documents and Settings% \ <uživatel> \ Desktop \ Zlepšit vaše PC.lnk
    Soubor je 1102 bytů.
    MD5: 1A2F8DD3F951A4BDBA6E8F7683675E46
    SHA1: 3D1ACB0DF365B2A422FEE42890A92A30CB7978FD
    Po spuštění tohoto souboru, tyto odkazy otevírají ve výchozím prohlížeči:
    http://www.re *** ster.com/L10n/geo-ws-597-di.php
    V době psaní tohoto článku, tento odkaz je neaktivní.
  • Přináší novou následující soubor pro výkon:
    % TEMP% \ ~ nsu.tmp \ wsget.exe
    Odešle následující řetězec k tomuto souboru jako parametr:
    "% Program Files% \ WhiteSmoke Tlumočník"
    Zahájených stahování souborů a spouští soubory z těchto URL adres:
    http://get.w *** moke.com / TranslatorTools / WhiteSmoke-silent.exe
    Soubor je 251 200 bytů.
    MD5: B2C1ECBB4E673505E9248A25DFC286B0
    SHA1: DD472F78C5E8591AD7C57435C67B46CFABAFAFCF
    http://get.w *** moke.com/TranslatorTools/WhiteSmokeTranslator_rev1.exe
    Soubor je 5 076 816 bytů.
    MD5: 12C6D991CAE48AEE5A14F1175D2543DA
    SHA1: 57859915C688EF98718C57500116DE2483ADEFCF
    Soubory jsou uloženy pod těmito názvy, respektive:
    % TEMP% \ ~ nsu.tmp \ WhiteSmoke-silent.exe
% TEMP% \ ~ nsu.tmp \ WhiteSmokeTranslator_rev1.exe

Odstranění návod

Pokud váš počítač není vybaven antivirovou ochranu a byl napaden tímto škodlivým programem, postupujte podle pokynů jej odstranit:
  1. Odstranění původní Trojan soubory jeho umístění bude záviset na tom, jak program původně pronikl infikovaný počítač).
  2. Odstraňte následující soubory:
    % TEMP% \ ~ nsu.tmp \ wsget.exe
% TEMP% \ ~ nsu.tmp \ boost.ico
% Documents and Settings% \ All Users \ Nabídka Start \ Programy \ Po spuštění \ WhiteSmoke Translator.lnk
% Documents and Settings% \ <uživatel> \ Desktop \ WhiteSmoke (pokračování instalace). LNK
% Documents and Settings% \ <uživatel> \ Desktop \ Zlepšit vaše PC.lnk
% TEMP% \ ~ nsu.tmp \ WhiteSmoke-silent.exe
% TEMP% \ ~ nsu.tmp \ WhiteSmokeTranslator_rev1.exe
  3. Odstraňte následující systémového registru klíče:
    [HKCU \ Environment]
"WS_TARGET_DIR" = "Soubory% Program% \ \ WhiteSmoke Tlumočník"

[HKLM \ Software \ WhiteSmokeTranslator]
"InstallOption" = dword: 0000000e
"DistID" = dword: 0000138a
Vystavil v
Štítky:

Žádné komentáře:

Okomentovat

Přihlásit se k odběru: Komentáře k příspěvku (Atom)