На главную страницу
 
 Главная 
 AVZ 
 APS 
 Статьи 
 Литература 
 Ссылки 
 Описания вирусов 
 Аппаратные системы 

AdWare/SpyWare
Backdoor
Hoax
Trojan
Trojan-Clicker
Trojan-Downloader
Trojan-Spy
Trojan-PSW
Net-Worm
Worm
Trojan-Dropper
Trojan-Proxy
Email-Worm
FraudTool
Trojan-Ransom

Поиск по сайту


Книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита (+ CD-ROM)"



Главная / Информационная безопасность / Описания вирусов / Описания вирусов / Adware и SpyWare

Adware.Win32.Look2me.ab


23.03.2006

Adware.Win32.Look2me.ab

Adware.Win32.Look2me наиболее "знаменит" тем, что это один из наиболее сложноудаляемых AdWare.

Файлы Adware.Look2me размещаются в папке System32 и имеют имена типа lvlm0931e.dll, sMfrcdlg.dll, azam0931e.dll, noxpnt.dll, guard.tmp ... - имена файлов изменяются после каждой перезагрузки, что затрудняет их удаление при помощи отложенного удаления и делает невозможным поиск файлов по характерным именам. Исключение из этого правила - файл с именем guard.tmp, который по статистике встречается чаще всего.

Размер файлов составляет около 220-230 кб и меняется от версии к версии (например, у одного из образцов размер был равен 234488 байт), атрибуты - "системный" и "только чтение".

Для автозагрузки своих DLL Look2me применяет две методики:

  • Регистрирует в реестре расширение Winlogon
  • Регистрирует в реестре расширение проводника (Explorer)

Имена создаваемых Look2me ключей реестра тоже изменяются после каждой перезагрузки.

Применение двух методик автозапуска (и соответственно загрузка одной DLL в процесс Winlogon, а второй - в процесс explorer) является дополнительной мерой защиты на случай, если пользователь удалит одну из библиотек или обнаружит и удалит один из ключей автозапуска.

В процессе работы Look2me активно защищает созданные им ключи реестра и файлы. Защита ключей реестра основана на  их пересоздания с высокой частотой (что делает бесполезным их удалений вручную или  при помощи менеджеров автозапуска), защита файлов достигается их открытием в режиме монопольного доступа.

Диагностика:

  1. В теле принадлежащих Adware.Look2me DLL открытым текстом видны строки "Look2Me" и "http://www.ad-w-a-r-e.com/eula.html". Файлы имеют атрибуты "системный" и "только чтение", зарегистрированы как расширение Winlogon и Explorer.
  2. Постоянные обращения процесса winlogon.exe к ключу  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify (может быть обнаружено утилитой RegMon).

Удаление вручную:

  1. Закрыть все запущенные приложения
  2. Запустить AVZ и активировать AVZ Guard
  3. При помощи отложенного удаления AVZ (Файл/отложенное удаление) произвести удаления принадлежащих Look2me файлов.
  4. В диспетчере автозапуска в секции Winlogon удалить элементы, ссылающиеся на файлы look2me
  5. В диспетчере расширений проводника удалить  элементы, ссылающиеся на файлы look2me
  6. Выйти из AVZ не выключая AVZ Guard
  7. Перезагрузиться. После перезагрузки убедиться, что принадлежащие look2me файлы удалены.

 





Top.Mail.Ru

(С) Зайцев О.В.
2003-2022

При использовании любых материалов данного сайта необходимо указывать источник информации.