23.03.2006
Adware.Win32.Look2me.ab
Adware.Win32.Look2me наиболее "знаменит" тем, что это один из наиболее сложноудаляемых AdWare.
Файлы Adware.Look2me размещаются в папке System32 и имеют имена типа lvlm0931e.dll, sMfrcdlg.dll, azam0931e.dll, noxpnt.dll, guard.tmp ... - имена файлов изменяются после каждой перезагрузки, что затрудняет их удаление при помощи отложенного удаления и делает невозможным поиск файлов по характерным именам. Исключение из этого правила - файл с именем guard.tmp, который по статистике встречается чаще всего.
Размер файлов составляет около 220-230 кб и меняется от версии к версии (например, у одного из образцов размер был равен 234488 байт), атрибуты - "системный" и "только чтение".
Для автозагрузки своих DLL Look2me применяет две методики:
- Регистрирует в реестре расширение Winlogon
- Регистрирует в реестре расширение проводника (Explorer)
Имена создаваемых Look2me ключей реестра тоже изменяются после каждой перезагрузки.
Применение двух методик автозапуска (и соответственно загрузка одной DLL в процесс Winlogon, а второй - в процесс explorer) является дополнительной мерой защиты на случай, если пользователь удалит одну из библиотек или обнаружит и удалит один из ключей автозапуска.
В процессе работы Look2me активно защищает созданные им ключи реестра и файлы. Защита ключей реестра основана на их пересоздания с высокой частотой (что делает бесполезным их удалений вручную или при помощи менеджеров автозапуска), защита файлов достигается их открытием в режиме монопольного доступа.
Диагностика:
- В теле принадлежащих Adware.Look2me DLL открытым текстом видны строки "Look2Me" и "http://www.ad-w-a-r-e.com/eula.html". Файлы имеют атрибуты "системный" и "только чтение", зарегистрированы как расширение Winlogon и Explorer.
- Постоянные обращения процесса winlogon.exe к ключу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify (может быть обнаружено утилитой RegMon).
Удаление вручную:
- Закрыть все запущенные приложения
- Запустить AVZ и активировать AVZ Guard
- При помощи отложенного удаления AVZ (Файл/отложенное удаление) произвести удаления принадлежащих Look2me файлов.
- В диспетчере автозапуска в секции Winlogon удалить элементы, ссылающиеся на файлы look2me
- В диспетчере расширений проводника удалить элементы, ссылающиеся на файлы look2me
- Выйти из AVZ не выключая AVZ Guard
- Перезагрузиться. После перезагрузки убедиться, что принадлежащие look2me файлы удалены.