Методы обнаружения вирусов

not-a-virus:AdWare.Win32.Zwangi.fmz

Время детектирования 17 апр 2011 07:08 MSK
Время выпуска обновления 17 апр 2011 11:35 MSK
Описание опубликовано 20 янв 2012 18:22 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Рекламное программное обеспечение, предназначенное для перенаправления поисковых запросов пользователя на другие веб-ресурсы. Является приложением Windows (PE-EXE файл). Имеет размер 715352 байта. Написано на C++.

Инсталляция

После запуска вредонос устанавливает на зараженном компьютере следующие компоненты: 

%Temp%\<rnd>.tmp\System.dll (10240 байт)
%Temp%\<rnd>.tmp\InstallOptions.dll (13824 байта)
%Temp%\<rnd>.tmp\modern-wizard.bmp (154544 байта)

%Program Files%\ScanQuery\scanquery.dll (573440 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Zwangi.fmy")

%Program Files%\ScanQuery\uninstall.exe (85128 байт)
%Program Files%\ScanQuery\scanquery.exe (49152 байта)

%ALLUSERSPROFILE%\Application Data\ScanQuery\scanquery120.exe (49152 байта; идентичен файлу "scanquery.exe")
где <rnd> – случайное имя (к примеру: nsr4F).

Также вредонос создает ключи системного реестра: 

[HKLM\Software\ScanQuery]
"TempInstallDir" = "%Program Files%\ScanQuery"
"Primary"= "8612"
"DllPath" = "%Program Files%\ScanQuery\scanquery.dll"
"Version" = "65556"
"Cid" = "483925330dc74be680bcfe8b5f14ae6a"
"Partner" = "SCANQUERY120"
"Src" = "scanquery"
"Initial" = "1"
"ShowToolbarButton" = "0"
"ShowBarSign" = "0"
"UpdateTimeH" = "<десятичное число>"
"UpdateTimeL" = "<десятичное число>"
"Retries" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ScanQuery]
"DisplayName" = "ScanQuery 1.0 build 120 powered by FIRST SEARCHBAR"
"UninstallString" = "%Program Files%\ScanQuery\uninstall.exe _?=%Program Files%\ScanQuery"

[HKU\.Default\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec" = "1"
В ходе процесса инсталляции вредонос отображает диалоговые окна следующего вида:

По завершении процесса инсталляции, вредонос запускает на выполнение извлеченные ранее файлы: 

%Program Files%\ScanQuery\scanquery.exe 
%ALLUSERSPROFILE%\Application Data\ScanQuery\scanquery120.exe
Лог работы вредоноса ведется в файле: 
%Temp%\<rnd>.tmp\ioSpecial.ini


Деструктивная активность

Вредонос подгружает ранее извлеченную библиотеку: 

%Program Files%\ScanQuery\scanquery.dll
в адресное пространство процессов браузеров "Internet Explorer" и "Google Chrome": 
iexplore.exe
chrome.exe
Это дает возможность вредоносу отслеживать поисковые запросы, вводимые пользователем в адресной строке браузера. В ответ на запрос пользователю выдается список ссылок, получаемый с сервера: 
www.sc***query.com

Кроме того, вредонос способен обновлять свои компоненты, обращаясь к серверу: 

upgrade.sca***uerytwo.com
На момент создания описания с данного сервера был загружен CAB-архив размером 664329 байт. Архив содержал файл "upgrade.exe" размером 673856 байт; детектируется Антивирусом Касперского как "not-a-virus:AdWare.Win32.Zwangi.heur". Архив и извлеченный файл сохраняются в системе как 
%WinDir%\Temp\<rnd>.tmp\upgrade.cab
%WinDir%\Temp\<rnd>.tmp\upgrade.exe
После успешной загрузки и извлечения файл "upgrade.exe" запускается на выполнение.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить процессы: 
    scanquery.exe 
scanquery120.exe
  2. Завершить работу браузеров: 
    Internet Explorer
Google Chrome
  3. Удалить ключи системного реестра (как работать с реестром?): 
    [HKLM\Software\ScanQuery]
"TempInstallDir" = "%Program Files%\ScanQuery"
"Primary"= "8612"
"DllPath" = "%Program Files%\ScanQuery\scanquery.dll"
"Version" = "65556"
"Cid" = "483925330dc74be680bcfe8b5f14ae6a"
"Partner" = "SCANQUERY120"
"Src" = "scanquery"
"Initial" = "1"
"ShowToolbarButton" = "0"
"ShowBarSign" = "0"
"UpdateTimeH" = "<десятичное число>"
"UpdateTimeL" = "<десятичное число>"
"Retries" = "1"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ScanQuery]
"DisplayName" = "ScanQuery 1.0 build 120 powered by FIRST SEARCHBAR"
"UninstallString" = "%Program Files%\ScanQuery\uninstall.exe _?=%Program Files%\ScanQuery"

[HKU\.Default\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec" = "1"
  4. Удалить файлы: 
    %Temp%\<rnd>.tmp\System.dll
%Temp%\<rnd>.tmp\InstallOptions.dll
%Temp%\<rnd>.tmp\modern-wizard.bmp
%Program Files%\ScanQuery\scanquery.dll
%Program Files%\ScanQuery\uninstall.exe
%Program Files%\ScanQuery\scanquery.exe 
%ALLUSERSPROFILE%\Application Data\ScanQuery\scanquery120.exe %Temp%\<rnd>.tmp\ioSpecial.ini
%WinDir%\Temp\<rnd>.tmp\upgrade.cab
%WinDir%\Temp\<rnd>.tmp\upgrade.exe
  5. Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  6. Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?).
  7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).


НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Main menu


Sub menu