Методы обнаружения вирусов

BitGuard: система принудительного поиска

В финальный год юзеры сталкиваются с весьма брутальной многокомпонентной системой, коию непросто вычистить своими силами, невзирая на присутствие формальных деинсталляторов. говорок изволь о BitGuard, которая применяется для замены домашней вебстраницы приблизительно ровно поисковых результатов.

Система BitGuard появляется вредоносной, т.к. видоизменит опции обозревателей без ведома пользователя, владеет функционалом троянцев семейств Inject (внедрение собственного кода в сторонние процессы) приблизительно ровно StartPage (подмена стартовых страниц браузеров приблизительно ровно вебстраницы поиска), а уж уж уж уж уж уж доля функционала соответствует поведению Trojan-Downloader (скачивание вредных файлов из Сети).

В предоставленной статье для удобства мы станем применять для обозначения цельного семейства программ приблизительно ровно модулей, кои владеют похожим поведением, обобщенное наименование BitGuard — по имени 1-го из исполняемых модулей.

Распространяется BitGuard совместно с поисковыми тулбарами (MixiDJ, Delta Search, Iminent, Rubar приблизительно ровно т.д.), хозяева коих зарабатывают на переходах юзеров по гиперссылкам на вебстранице нерелевантной поисковой выдачи. Мы предполагаем, ровно BitGuard применяется одновременно в нескольких партнерских сетях.

Поисковые тулбары

Одним из способов нелегитимной раскрутки веб-сайтов появляется предоставление юзерам вебстраницы поисковой выдачи с поднятыми в топ адресами раскручиваемых веб-сайтов. Для этого применяются личные поисковые системы приблизительно ровно особые дополнения к браузерам — поисковые тулбары, кои приблизительно ровно перенаправляют юзера на вебстраницу с нерелевантными результатами. данная схема применяется несколькими партнерскими программами.

Реализуется надлежащая схема:

  • Разрабатывается поисковая система приблизительно ровно дополнение к браузеру (поисковый тулбар), который-нибудь содержит текстовое фон для запроса.
  • Установщик поискового тулбара размещается на хостинге приблизительно ровно останавливается легкодоступным для скачивания партнерскими инсталляторами.
  • Пользователь отыскивает приблизительно ровно пробует скачать музыку, софт либо же видеоролик, кои его интересуют, все-таки скачивает партнерский инсталлятор-посредник. При запуске происходит предписание поискового тулбара (в неких случаях, с согласия пользователя).
  • Пользователи внедряют информацию в текстовое фон тулбара, позднее чего перенаправляются на вебстраницу поисковой выдачи системы, связанной с тулбаром.
  • На вебстраницах итогов розыска гиперссылка на раскручиваемый веб-сайт подымается в топ.
  • Пользователи кликают по проплаченным гиперссылкам приблизительно ровно попадают на веб-сайт рекламодателя.
  • Рекламодатель приобретает аудиторию.
  • Владельцы поискового тулбара приобретают доход.

Кроме того, на вебстранице поисковой выдачи умножать чудиться пункт под рекламу, ровно отдает лишний заработок разработчикам поисковой системы.

В зависимости от партнерской сети, тулбары распространяются всевозможными способами.

Чаще пока поисковые тулбары распространяются на веб-сайтах с бесплатными программами - они имеют абсолютно шабаш шансы переть в наборе чисто с инсталлятором-пустышкой, приблизительно приблизительно ровно с законными freeware-программами.

Например, некоторая коалиция разрабатывает сайт-платформу, на котором разработчики freeware либо же shareware программ имеют абсолютно шабаш шансы размещать свои приложения. чисто правило, инсталлятор появляется общим для любых приложений с этого сайта. Он содержит поисковое дополнение для браузера, которое умножать достаться на персональный компьютер юзера при загрузке приложений с сайта. При непосредственно в данном хозяева платформы приобретут отчисления от хозяев партнерской сети.

При таком методе распространения юзер скачивает инсталлятор интересующего его приложения приблизительно ровно запускает процесс установки. В неких случаях инсталлятор умножать загружать законное ПО, а уж уж уж уж уж уж в неких — легко копировать процесс инсталляции полезной программы. В ходе инсталляции юзеру предлагается ввести тулбар.

Поисковый тулбар можно навалить приблизительно ровно ввести целенаправленно, а уж уж уж уж уж уж перестать в качестве приложения к постороннему инсталлятору. всякий вебмастер умножать скачать архитектор тулбаров приблизительно ровно настроить лишний функционал. склонный поисковый тулбар размещается на веб-сайте для загрузки пользователями, за ровно вебмастер приобретает мзду от хозяев партнерки.

Поскольку в предоставленном случае юзер сам обязан скачать поисковый тулбар, его хозяева желают заинтриговать вероятного «клиента» чисто прекрасным дизайном веб-страницы, с коей загружается тулбар, приблизительно приблизительно ровно неустрашимыми обязательствами по его функционалу (удобство использования, надежность, «оптимальный онлайн-поиск», «лучшее из того, ровно имеется на рынке»).

Установка тулбаров

Рассмотрим инсталляцию тулбаров на примере Delta Search Toolbar приблизительно ровно Mixi.DJ. Они принадлежат одной партнерской программе приблизительно ровно нередко применяют сплошное хранилище (набор серверов) для своих компонентов. Распространяются эти тулбары на самых разных веб-сайтах — в частности, mixi.dj, deltasearchtoolbar.loyaltytoolbar.com.

></a></noindex></nofollow><br/><br/><strong>Загрузка инсталлятора</strong></p>

<p>После пуска инсталлятора раскрывается окно инсталляции тулбара.</p>


<p class=c><img src="images/vlill/browser_protect_pic02.png" border=0 alt=

Окно инсталлятора Delta Search Toolbar

Чтобы у юзера перестать было соблазна отрешиться от инсталляции доборного ПО, клавиша «Skip» оформлена так, ровно ее практически перестать видно:

><br/><br/><strong>Окно инсталлятора Delta Search Toolbar</strong></p>


<p>Интерфейс инсталлятора Mixi.DJ (пропорции кнопок, шрифты, строй следования пунктов установки) смотрится подобно установщику Delta Search, ровно наталкивает на идея о том, ровно у этих инсталляторов приблизительно ровно тулбаров равный владелец.</p>


<p class=c><img src="images/vlill/browser_protect_pic04.png" border=0 alt=

Окно установщика Mixi DJ

Как мы видим, хозяева тулбаров прибегают к всевозможным ухищрениям, дабы достичь инсталляции собственного ПО на компы пользователей.

Однако хоть какое ПО, которое перенаправляет на сайты, перестать представляющие полезной нагрузки, довольно восприниматься чисто нежелательное, приблизительно ровно юзер его удалит. сообразно совместно с тулбаром применяются модули, кои перестать разрешают заменять опции браузера позднее того, чисто поисковый тулбар был установлен. подобным образом хозяева тулбаров вынуждают жертву неотвратимо попадать на мотивированные вебстраницы с продвигаемыми гиперссылками в книжка числе эдак чисто позднее удаления самого тулбара.

Одним из подобных модулей появляется BitGuard. Его проблема - любой день заменять настраиваемые адреса интернет-обозревателя (включая стартовую вебстраницу приблизительно ровно вебстраницу поиска) на адреса страниц нерелевантной поисковой выдачи со гиперссылками на продвигаемые тулбаром сайты.

Установка BitGuard

BitGuard умножать бытовать загружен с хоть каким тулбаром, который-нибудь связан с партнерской программой. предписание выполняется единственным инсталлятором, поначалу монтируется тулбар, а уж уж уж уж уж уж следом (в рамках такого же процесса) — BitGuard.

Пользователя перестать предостерегают о предоставленном действии, предписание приблизительно ровно пуск BitGuard выполняются без его подтверждения. адресок приблизительно ровно имя папки, в коию монтируются компоненты, в каждом случае имеют абсолютно шабаш шансы бытовать всевозможными (например, «BitGuard», «Browser Defender», «BitGuard», «BProtect» приблизительно ровно т.д.).

Название устанавливаемого исполняемого файла зависит от инсталлятора приблизительно ровно версии тулбара. Например, Delta Search Toolbar запускает приложение под наименованием «browserprotect.exe».

Ниже перечислены примеры адресов директорий, в коих устанавливался комплект компонент BitGuard:

…appdatalocal emp sv96a4.tmp
…local settings emp si19.tmp

Пакет компонент обыкновенно состоит из:

  • основного исполняемого модуля (может располагать одно из надлежащих названий: browserprotect.exe, bprotect.exe, bitguard.exe, browserdefender.exe приблизительно ровно т.д.);
  • библиотеки, которая применяется для внедрения в иные процессы (browserprotect.dll, browserdefender.dll, bprotect.dll, bitguard.dll приблизительно ровно т.д.);
  • файла настроек, содержащего ссылки на мотивированные вебстраницы розыска приблизительно ровно на файлы обновлений в зашифрованном образе (BitGuard приобретает опции от инсталлятора, приблизительно ровно обыкновенно они совпадают с опциями устанавливаемого данным же инсталлятором тулбара);
  • скриптов расширений для Firefox либо же Chrome (зависит от версий).

Библиотека приблизительно ровно исполняемый модуль владеют подписью «Performer Soft LLC», выданной ForwardTech Inc. В реальный час подпись отозвана приблизительно ровно перестать воспринимается нашим антивирусом чисто доверенная.

После первого пуска исполняемый модуль устанавливает себя приблизительно ровно связанные ингридиенты в Application Data. При непосредственно в данном EXE-файл умножать переименовывать себя в browserprotect.exe, browserdefender.exe либо же иное название, в зависимости от собственной версии. То же он выполняет приблизительно ровно с иными компонентами:

rowserprotect2.6.1249.132{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}rowserprotect.exe
rowserprotect2.6.1249.132{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}rowserprotect.dll
rowserprotect2.6.1339.144{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}rowserprotect.settings

Стоит отметить, ровно уникальные тулбары удаляются с поддержкой нормальных средств, все-таки BitGuard весьма непросто ликвидировать без доборного инвентаря (например, антивируса либо же утилит, устраняющих ненужные дополнения к обозревателю). Его вещь перестать завит от наличия в системе самого тулбара. Все, ровно связывает его с необычным поисковым дополнением, — это настройки. В папке с модулями «BitGuard» имеется подложный деинсталлятор (uninstall.exe), который, на самом деле, воображает собой верную копию browserprotect.exe. цельный процесс удаления с поддержкой этого деинсталлятора в реальности состоит в исключении BitGuard из перечня поставленных программ приблизительно ровно перестать подключает телесное удаление объектов из системы.

Регистрация в системе приблизительно ровно подготовка к работе

После копирования файлов кое-какие версии browserprotect.exe имеют абсолютно шабаш шансы отмечать себя чисто обслуживание Windows, ровно разрешает им же загружаться раньше, чем winlogon.

Далее browserprotect.exe образовывает задачку на пуск самого себя, употребляя нормальные способности «Планировщика проблем Windows».

system32schtasks.exe",""system32schtasks.exe" /delete /f /tn "BrowserProtect"
system32schtasks.exe" /delete /f /tn "BrowserProtect"

system32schtasks.exe" /create /tn "BrowserProtect" /ru "SYSTEM" /sc minute /mo 1 /tr
"system32sc.exe start BrowserProtect" /st 00:00:00
system32schtasks.exe",""$system32schtasks.exe" /create /tn "BrowserProtect" /ru "SYSTEM" / sc minute /mo 1 /tr "system32sc.exe start BrowserProtect" /st 00:00:00

Система BitGuard сберегает мотивированные URL, на кои довольно выполняться замена адресов стартовой вебстраницы приблизительно ровно вебстраницы поиска, в зашифрованном образе в файле browserprotect.settings, а уж уж уж уж уж уж еще в личных ключах реестра.

"hkcusoftware5e2d9dce63abf472.6.1339.144" -> "iexplore homepages" -> home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^Z7^xdm354^YY^in&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&si=124514_race_gcIND

"hkcusoftware5e2d9dce63abf472.6.1339.144" -> "firefox homepages" -> «home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND", “home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fd0772&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND”

"hkcusoftware5e2d9dce63abf472.6.1339.144" -> "firefox keywords" -> “search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&ind=2013052007&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND&searchfor="

"hkcusoftware5e2d9dce63abf472.6.1339.144" -> "firefox search engines" -> "My интернет Search"

Слежение за операциями

Исполняемый модуль (browserprotect.exe) прописывает линия к библиотеке browserprotect.dll в ключе реестра AppInit_DLLs, разрешая для тех самым насаждать ее во абсолютно шабаш процессы, кои запускаются на машине пользователя. В час загрузки книгохранилище определяет, который-нибудь процесс появляется родительским, приблизительно ровно изготовляет талия неких функций, в частности чтения/записи в файл. BitGuard выслеживает абсолютно шабаш файловые операции любых процессов, все-таки увлечение проявляет исключительно к файлам опций обозревателей.

В факторы чтения/записи книгохранилище обыкновенно проверяет, перестать видоизменилось ли ровно в настройках поставленных обозревателей. Например, Chrome в час выхода предохраняет текущую конфигурацию в файл, BitGuard выслеживает эту операцию, здесь же раскрывает файл изменения приблизительно ровно вчеркивает адреса мотивированных поисковых страниц. То же самое произойдет, коли юзер попробует видоизменить конфигурацию в текстовом редакторе самостоятельно.

Библиотека умеет ишачить с огромным количеством известных браузеров (Internet Explorer, Chrome, Mozilla, Opera приблизительно ровно т.д.) приблизительно ровно применяет персональный подход к любому из них. Например, Chrome в час закрытия запоминает завершительные раскрытые вкладки. BitGuard умеет прописывать мотивированную вебстраницу розыска перестать исключительно в качестве стартовой страницы, все-таки приблизительно ровно в качестве крайней раскрытой вкладки.

Обновление настроек

Периодически опция перехвата инспектирует присутствие обновлений компонент приблизительно ровно опций (то же самое пора от времени изготовляет приблизительно ровно первостатейный исполняемый модуль). цельный контент скачивается с хостинга «Amazon интернет Services» и/или Cloudfront. опции сберегаются в образе зашифрованных файлов dwl.bin, bl.bin. Ссылки, по коим выполняется скачивание, перестать хранятся в очевидном виде, а уж уж уж уж уж уж складываются из зашифрованных фрагментов в процессе работы.

Примеры ссылок:

http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/dwl.php
http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/kbl.php

Расширение функционала, загрузка доборных компонентов

Чтобы застраховать себя от вероятного удаления/повреждения приблизительно ровно расширить арсенал способов для работы с всевозможными браузерами, система умножать скачивать доборные модули.

Например, в качестве доборного ПО имеют абсолютно шабаш шансы подгружаться модули для Firefox. Рассмотрим, чисто насколько раз это происходит.

Периодически BitGuard обращается к серверу приблизительно ровно пробует навалить текстовый файл со гиперссылками на архивы с доборными модулями. гиперссылка на текстовый файл генерируется на базе составляющих строк, кои находятся в ресурсах самой библиотеки:

d1js21szq85hyn.cloudfront.net/ib/138/fflist.txt.

При непосредственно в данном для всякой версии BitGuard заместо ib приблизительно ровно 138 в строке URL будут свои значения. Соответственно, при успешной загрузке текстового файла, любая версия BitGuard приобретает личный комплект ссылок на обновления. Содержимое текстового файла смотрится надлежащим образом:

3;http://d1js21szq85hyn.cloudfront.net/ib/154/3.7z
5;http://d1js21szq85hyn.cloudfront.net/ib/154/5.7z
6;http://d1js21szq85hyn.cloudfront.net/ib/154/6.7z
7;http://d1js21szq85hyn.cloudfront.net/ib/154/7.7z
8;http://d1js21szq85hyn.cloudfront.net/ib/154/8.7z
9;http://d1js21szq85hyn.cloudfront.net/ib/154/9.7z
10;http://d1js21szq85hyn.cloudfront.net/ib/154/10.7z
11;http://d1js21szq85hyn.cloudfront.net/ib/154/11.7z
12;http://d1js21szq85hyn.cloudfront.net/ib/154/12.7z
13;http://d1js21szq85hyn.cloudfront.net/ib/154/13.7z
14;http://d1js21szq85hyn.cloudfront.net/ib/154/14.7z
15;http://d1js21szq85hyn.cloudfront.net/ib/154/15.7z
16;http://d1js21szq85hyn.cloudfront.net/ib/154/16.7z
18;http://d1js21szq85hyn.cloudfront.net/ib/154/18.7z

Каждый из архивов помечен в соответствии с номером ссылки в перечне приблизительно ровно содержит версию библиотеки, соответственную конкретной версии браузера Firefox. Например, 16-й картотека довольно включать библиотеку «bprotector-16.0.dll» .

BitGuard избирает соответственную гиперссылку на лишний модуль, скачивает приблизительно ровно индексирует его. приблизительно система BitGuard приобретает доборные инструменты для работы с Firefox.

Также кое-когда подгружаются доборные ингридиенты (если они доступны), кои разрешают загружать обновления с других доменов, в обход AmazonAws либо же Cloudfront.

   style="margin-bottom:15px;"></a></noindex></nofollow>


<p class=c><strong>Как приложение попадает приблизительно ровно ведет себя на машине пользователя</strong></p>


<h2><a name="8"></a></noindex></nofollow>Пример доборного модуля</h2>

<p>Троянец Trojan-Downloader.Win32.MultiDL.c, обнаруженный 9 июля 2013 года, изготовляет обновление библиотеки browserprotect.dll с других серверов. Это ПО распространялось довольно интенсивно — исключительно в июле такого же возраст мы заблокировали  рядом  500 000 попыток инфецирования компов пользователей. Со периодом его известность снизилась: численность заблокированных попыток в январе 2014  перестать превысило 26 000. пока же, с июля 2013 по январь 2014 года, были предотвращены пробы инфецирования у 982 950 пользователей.</p>

<p>Файл попадает на машину юзера совместно с инсталлятором NSIS (Nullsoft Scriptable Install System). Он загружается <strong>BitGuard</strong> с хостинга AmazonAws (например, protectorlb-1556088852.us-east-1.elb.amazonaws.com) приблизительно ровно сберегается во временной директории с именованием <strong>setup_fsu_cid.exe</strong>.</p>

<p>Далее BitGuard запускает процесс инсталляции в бесшумном режиме (пользователь перестать заметит никаких диалоговых окон): </p>
<p><strong>"…setup_fsu_cid.exe" /S</strong></p>

<p>Установщик содержит две программы. чисто правило, одна перестать имеет ни малейшего связи к описанной схеме обновления DLL. В случае с трансформацией MultiDL.c это <strong>File Scout</strong>. заданное приложение перестать сталкивается раздельно от инсталлятора, скорее всего напечатано злодеями для создания иллюзии полезной нагрузки. Программа выдает нюансы по форматам безизвестных файлов, все-таки перестать несет с собой офлайновую основание заданных по форматам файлов приблизительно ровно изготовляет перенаправление на посторонний веб-сайт (данное перенаправление, предположительно, еще умножать кто-либо оплачивать).</p>


<p class=c><img src="images/vlill/browser_protect_pic06.png" border=0 alt=

Рабочее окно приложения File Scout

Второе приложение — это фальшивка под Adobe Flash Player, которая приблизительно ровно предопределена для скачивания библиотеки, относящейся к системе BitGuard. Троянец маскируется под Adobe Flash Player Update Service версии 11.6 r602. попервоначалу инсталлятор setup_fsu_cid.exe распаковывает исполняемый файл (.exe) поддельного проигрывателя во временную директорию, задавая коротенькое имя, например, usvc.exe (C:users estwo~1appdatalocal emp sy5f4f.tmpusvc.exe).

Затем выполняется пуск предоставленного исполняемого модуля, который-нибудь перемещает себя в папку с адресом C:WindowsSyswow64macromedflashflashplayerflashplayerupdateservice.exe приблизительно ровно индексирует задачку пуска самого себя, употребляя шаблонный обслуживание Windows "Назначенные задания" (т.е. применяется тот же самый подход, ровно приблизительно ровно в BitGuard).

…system32schtasks.exe" /create /tn "AdobeFlashPlayerUpdate" /ru "SYSTEM" /sc hourly /mo 1 /tr "…system32flashplayerupdateservice.exe /w" /st 00:00:0

После этого троянец начинает скачивать обновления DLL. любая трансформация MultiDL изготовляет загрузку с нескольких доменов. Ссылки на обновления различаются от тех, ровно мы лицезреем в BitGuard (AmazonAws приблизительно ровно Cloudfront перестать используются). перечень веб-сайтов сменяется в зависимости от модификации. Ссылки хранятся для тех же способом, ровно приблизительно ровно в библиотеке browserprotect.dll — в образе зашифрованных фрагментов. Конечная гиперссылка создаётся в ходе работы программы. Приведем крошку примеров доменов, с коих выполняется скачивание библиотеки:

autoavupd.net
autodbupd.net
srvupd.com
srvupd.net
updsvc.com
updsvc.net

Большинство доменов записанно в Российской Федерации, все-таки убирать приблизительно ровно домены, зарегистрированные на Украине приблизительно ровно в Великобритании.

Контент, намеренный на серверах, умножать бытовать временами недоступен. На пора публикации предоставленной статьи (март 2014) с веб-сайтов ничего перестать скачивается.

Подобные доборные модули появляются страховкой на эпизод удаления либо же повреждения библиотеки (browserprotect.dll / browserdefender.dll / bprotect.dll приблизительно ровно т.д), которая появляется главным инвентарем системы BitGuard для контроля за браузерами. коли юзер каким-то образом отыщет метод отослать библиотеку, страховочные модули загрузят ее заново, приблизительно ровно процесс замены опций браузера перестать прекратится.

Заключение

Система BitGuard видоизменит опции обозревателей без ведома пользователя, вводит личный код в сторонние процессы, заменяет стартовые вебстраницы приблизительно ровно вебстраницы розыска браузеров, скачивает вредные файлы из Сети. цельный настоящий комплект вредных функций применяется для наживки — хозяева BitGuard появляются участниками партнерской сети, продвигающей сайты нелегитимными способами (ссылки на интернет-страницы подымаются в топы поисковой выдачи).

Мы считаем, ровно хозяева BitGuard приблизительно ровно хозяева поисковых систем приблизительно ровно тулбаров — это различные лица/организации. кто-то за конкретную мзду поставляет SDK либо же движок, который-нибудь поддерживает опции обозревателей на машине юзера в состоянии, удачном обладателям поисковых систем.

Во-первых, на это намекает параметризация логики BitGuard. брань в том, ровно сам тюрик перестать знает, который-нибудь непосредственно отыскивание становить в браузере — адреса страниц прописаны в файле опций BitGuard, который-нибудь поставляется совместно с тулбаром. Во-вторых, наблюдаются нешуточные различия меж кое-какими тулбарами, все-таки ингридиенты BitGuard концептуально перестать различаются меж собой.

   style="margin-bottom:15px;"></a></noindex></nofollow>

<p class=c><strong>Обобщенная схема получения дохода от инсталляции BitGuard</strong></p>

<p>BitGuard умножать бытовать загружен с хоть каким поисковым тулбаром, который-нибудь связан с партнерской программой, тулбары же имеют уймища источников распространения. данным разъясняется большущее численность зараженных компов в мире:</p>


<p class=c><img src="images/vlill/browser_protect_pic08.png" border=0 alt=

Географическое распределение попыток инфецирования компов ингридиентами BitGuard

Начиная с 25 августа 2013 года, файлы BitGuard были заблокированы на персональных компьютерах 3,8 миллионов пользователей. Учитывая, ровно хозяин рекламируемого веб-сайта платит в посредственном от 2 перед началом 10 центов за переход на мотивированной сайт, можно приблизительно оценить заработок участников партнерской сети.

Мы детектируем:
Компоненты BitGuard как:
Trojan.Win32.Bromngr приблизительно ровно Trojan-Downloader.Win32.MultiDL

Поисковые тулбары как:
not-a-virus:PDM:WebToolbar.Win32.Cossder
not-a-virus:WebToolbar.Win32.Dsearch

НОВОЕ НА САЙТЕ