Признаки
При запуске создает следующие файлы:
* %ТекущаяДиректория%\tmp_1023921881.exe
* %ТекущаяДиректория%\DelZip179.dll
* %ДиректорияПрофиляПользователя%\Desktop\[Корейские_Символы].lnk
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
* %ProgramFiles%\cashbackkorea\auction.ico
* %ProgramFiles%\cashbackkorea\cashbackkorea.dll
* %ProgramFiles%\cashbackkorea\cashbackkoreabar.dll
* %ProgramFiles%\cashbackkorea\shoppingmall.zip
* %ProgramFiles%\cashbackkorea\uninstall.exe
* %ProgramFiles%\cashbacksys\auction.ico
* %ProgramFiles%\cashbacksys\cashbacksys.dll
* %ProgramFiles%\cashbacksys\cashbacksysbar.dll
* %ProgramFiles%\cashbacksys\shoppingmall.zip
* %ProgramFiles%\cashbacksys\uninstall.exe
* %ProgramFiles%\mizane\auction.ico
* %ProgramFiles%\mizane\mizane.dll
* %ProgramFiles%\mizane\mizanebar.dll
* %ProgramFiles%\mizane\shoppingmall.zip
* %ProgramFiles%\okcashbackmall\uninstall.exe
* %System%\dwqblw[Случайные_символы].exe
* %System%\dwqblw[Случайные_символы].exe
* %System%\dwqblw[Случайные_символы].exe
* %System%\icons.dll
* %System%\img1.flv
* %System%\img2.flv
* %System%\tempfiles_[RANDOM NUMBERS].exe
* %System%\zadwqblw[Случайные_символы].exe
* %System%\zadwqblw[Случайные_символы].exe
Обеспечивает себе автозагрузку при каждом запуске системы. Для этого создает в реестре следующие записи:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"dwqblwppx.exe" = "C:\WINDOWS\system32\dwqblw[Случайные_символы].exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"dwqblwpvl.exe" = "C:\WINDOWS\system32\dwqblw[Случайные_символы].exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"dwqblwrsq.exe" = "C:\WINDOWS\system32\dwqblw[Случайные_символы].exe"
Также создает в реестре следующие подключи:
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
* HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\User Agent
* HKEY_CLASSES_ROOT\CLSID\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
* HKEY_CLASSES_ROOT\CLSID\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
* HKEY_CLASSES_ROOT\CLSID\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
* HKEY_CLASSES_ROOT\CLSID\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
* HKEY_CLASSES_ROOT\CLSID\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
* HKEY_CLASSES_ROOT\cashbackkorea.cashbackkorea.com
* HKEY_CLASSES_ROOT\cashbackkoreabar.cashbackkorea
* HKEY_CLASSES_ROOT\cashbacksys.cashbacksys.com
* HKEY_CLASSES_ROOT\cashbacksysbar.cashbacksys.com
* HKEY_CLASSES_ROOT\mizane.mizane.com
* HKEY_CLASSES_ROOT\mizanebar.mizane.com
* HKEY_CLASSES_ROOT\okcashbackmall.okcashbackmall.co m
* HKEY_CLASSES_ROOT\okcashbackmallbar.okcashbackmall .com.Bar
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Windows cashbackkorea Uninstall
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Windows cashbacksys Uninstall
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Windows mizane Uninstall
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\okcashbackmall Uninstall
* HKEY_LOCAL_MACHINE\SOFTWARE\cashbackkorea
Затем подключается к URL [
http://]okcashbackmall.com/down/ho[???] и загружает оттуда файлы. Файлы сохраняются как:
* %ProgramFiles%\mizane\uninstall.exe
* %ProgramFiles%\okcashbackmall\okcashbackmall.dll
* %ProgramFiles%\okcashbackmall\okcashbackmallbar.dl l
Файл okcashbackmall.dll регистрируется как вспомогательный объект браузера (BHO) 1DDE8A86-89D8-4B55-A936-65C40B6A8DD0, использующийся для отслеживания работы браузера и периодического перенаправления.
ЗАЩИТА
Для удаления приложения используйте антивирусную программу, содержащую ее определение в своих базах. Затем удалите созданные приложением элементы реестра при помощи "Редактора реестра" (regedit.exe).
Действие
Adware для платформы Windows. Может перенаправлять браузер на другие веб-страницы без ведома пользователя.
Имя приложения: okcashbackmall install, версия 1.0.0.0.