Adware.Okcashbackmall

Новости

Тип:

Adware Adware - «рекламное программное обеспечение» - отдельные вредоносные программы либо модули в составе обычных приложений, отображающие нежелательную рекламу, например, всплывающие окна в браузере. Как правило, скрывают своё присутствие в системе и загружаются автоматически после каждого запуска системы.

Операционная система:

Windows

Уровень:

низкий

Размер:

267.264 байта

Признаки

При запуске создает следующие файлы:

  • %ТекущаяДиректория%\tmp_1023921881.exe
  • %ТекущаяДиректория%\DelZip179.dll
  • %ДиректорияПрофиляПользователя%\Desktop\[Корейские_Символы].lnk
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ДиректорияПрофиляПользователя%\Favorites\[Корейские_Символы]\[Корейские_Символы].url
  • %ProgramFiles%\cashbackkorea\auction.ico
  • %ProgramFiles%\cashbackkorea\cashbackkorea.dll
  • %ProgramFiles%\cashbackkorea\cashbackkoreabar.dll
  • %ProgramFiles%\cashbackkorea\shoppingmall.zip
  • %ProgramFiles%\cashbackkorea\uninstall.exe
  • %ProgramFiles%\cashbacksys\auction.ico
  • %ProgramFiles%\cashbacksys\cashbacksys.dll
  • %ProgramFiles%\cashbacksys\cashbacksysbar.dll
  • %ProgramFiles%\cashbacksys\shoppingmall.zip
  • %ProgramFiles%\cashbacksys\uninstall.exe
  • %ProgramFiles%\mizane\auction.ico
  • %ProgramFiles%\mizane\mizane.dll
  • %ProgramFiles%\mizane\mizanebar.dll
  • %ProgramFiles%\mizane\shoppingmall.zip
  • %ProgramFiles%\okcashbackmall\uninstall.exe
  • %System%\dwqblw[Случайные_символы].exe
  • %System%\dwqblw[Случайные_символы].exe
  • %System%\dwqblw[Случайные_символы].exe
  • %System%\icons.dll
  • %System%\img1.flv
  • %System%\img2.flv
  • %System%\tempfiles_[RANDOM NUMBERS].exe
  • %System%\zadwqblw[Случайные_символы].exe
  • %System%\zadwqblw[Случайные_символы].exe

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого создает в реестре следующие записи:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\”dwqblwppx.exe” = “C:\WINDOWS\system32\dwqblw[Случайные_символы].exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\”dwqblwpvl.exe” = “C:\WINDOWS\system32\dwqblw[Случайные_символы].exe”
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\”dwqblwrsq.exe” = “C:\WINDOWS\system32\dwqblw[Случайные_символы].exe”

Также создает в реестре следующие подключи:

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
  • HKEY_CLASSES_ROOT\CLSID\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
  • HKEY_CLASSES_ROOT\CLSID\{1DE525ED-EF71-4119-8C3C-1CE5315ADA74}
  • HKEY_CLASSES_ROOT\CLSID\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
  • HKEY_CLASSES_ROOT\CLSID\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
  • HKEY_CLASSES_ROOT\CLSID\{D04358AE-CE03-4A26-9F02-69C4D3A5267F}
  • HKEY_CLASSES_ROOT\cashbackkorea.cashbackkorea.com
  • HKEY_CLASSES_ROOT\cashbackkoreabar.cashbackkorea
  • HKEY_CLASSES_ROOT\cashbacksys.cashbacksys.com
  • HKEY_CLASSES_ROOT\cashbacksysbar.cashbacksys.com
  • HKEY_CLASSES_ROOT\mizane.mizane.com
  • HKEY_CLASSES_ROOT\mizanebar.mizane.com
  • HKEY_CLASSES_ROOT\okcashbackmall.okcashbackmall.com
  • HKEY_CLASSES_ROOT\okcashbackmallbar.okcashbackmall.com.Bar
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DDE8A86-89D8-4B55-A936-65C40B6A8DD0}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D2D9681-C234-47A3-B499-9CEE26FF54C2}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7AC1D6D1-B83B-4D77-A916-839F90216BC7}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows cashbackkorea Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows cashbacksys Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows mizane Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\okcashbackmall Uninstall
  • HKEY_LOCAL_MACHINE\SOFTWARE\cashbackkorea

Затем подключается к URL [http://]okcashbackmall.com/down/ho[???] изагружает оттуда файлы. Файлы сохраняются как:

  • %ProgramFiles%\mizane\uninstall.exe
  • %ProgramFiles%\okcashbackmall\okcashbackmall.dll
  • %ProgramFiles%\okcashbackmall\okcashbackmallbar.dll

Файл okcashbackmall.dll регистрируется как вспомогательный объект браузера (BHO) 1DDE8A86-89D8-4B55-A936-65C40B6A8DD0,использующийся для отслеживания работы браузера и периодического перенаправления.

ЗАЩИТА

Для удаления приложения используйте антивирусную программу, содержащую ее определение в своих базах. Затем удалите созданные приложением элементы реестра при помощи “Редактора реестра” (regedit.exe).

Действие

Adware для платформы Windows. Может перенаправлять браузер на другие веб-страницы без ведома пользователя.

Имя приложения: okcashbackmall install, версия 1.0.0.0.