[Tuflya07]

not-a-virus:AdWare. Win32.Shopper.l

04 мая, 2010


Потенциально нежелательная программа. Программа является приложением Windows (PE DLL-файл). Имеет размер 150976 байт. Написана на C++.

Деструктивная активность

После активации программа устанавливает компоненты панели инструментов "Shopper Reports" для Internet Explorer:



Компоненты представляют собой Internet Explorer Browser Helper Object (BHO), стартующие при запуске Internet Explorer:



При регистрации BHO в системе создаются следующие ключи реестра:
[HKCR\CLSID\{20EA9658-6BC3-4599-A87D-6371FE9295FC}]

[HKC\CLSID\{20EA9658-6BC3-4599-A87D-6371FE9295FC}\InprocServer32]
"(default)" = "<Путь к оригинальному файлу программы>"

[HKCR\CLSID\{100EB1FD-D03E-47FD-81F3-EE91287F9465}]

[HKCR\CLSID\{A16AD1E9-F69A-45AF-9462-B1C286708842}]

[HKCR\CLSID\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}]

[HKCR\CLSID\{C9CCBB35-D123-4A31-AFFC-9B2933132116}]

[HKCR\CLSID\{D785C393-A164-8635-93C3-85D764A13586}]

[HKCR\ShoppingReport.HbAx]

[HKCR\ShoppingReport.HbAx.1]

[HKCR\ShoppingReport.HbInfoBand]

[HKCR\ShoppingReport.HbInfoBand.1]

[HKCR\ShoppingReport.IEButton]

[HKCR\ShoppingReport.IEButton]A

[HKCR\ShoppingReport.IEButtonA.1]

[HKCR\ShoppingReport.IEButton.1]

[HKCR\ShoppingReport.RprtCtrl]

[HKCR\ShoppingReport.RprtCtrl.1]

[HKLM\Software\ShoppingReport]

[HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}]

[HKLM\Software\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-
9D20-520B59A9F9B2}]

[HKLM\Software\Microsoft\Internet Explorer\Extensions\{C5428486-50A0-4a02-
9D20-520B59A9F9B3}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper
Objects\{100EB1FD-D03E-47FD-81F3-EE91287F9465}]

Файлы с настройками программы хранятся в переменной окружения %APPDATA% текщего пользователя Windows:
%AppData%\ShoppingReport\cs\
Программа может загружать обновления со следующего Интернет - ресурса:
http://partners.shopperreports.com