Как удалить рекламу Powered by Capricornus

Тема в разделе "Борьба с типовыми зловредами", создана пользователем regist, 30 дек 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    В последнее время стала популярна реклама в браузерах Powered by Capricornus. Примеры этой рекламы под спойлером
    Скрин 1.jpg b7f938b230e5f4b6e9ab2dda9339620f.jpg

    Помимо этого могут самостоятельно открываться новые вкладки.

    Причина в пропатченных вирусом системных библиотеках dnsapi.dll (Domain Name Server Client Application Programming Interface).
    Для x32 систем располагается здесь
    Код (Text):
    C:\Windows\system32\DNSAPI.dll
    Для x64
    Код (Text):
    C:\WINDOWS\SysNative\dnsapi.dll
    C:\WINDOWS\SysWOW64\dnsapi.dll
    Она используется системой в основном для конвертации IP-адреса из имени в адрес и обратно.

    Детектируется антивирусом касперского Trojan.Win32.Patched.qw и соответственно Trojan.Win64.Patched.qw, название детектов другими антивирусов можете посмотреть по ссылкам:
    Antivirus scan for f595a6dc098cbe09256ce2b4540faeb818b2989c92e991b47495cd614312b9f4 at 2015-12-29 18:47:44 UTC - VirusTotal
    Antivirus scan for d9b3b3dd5064e7313dd6ed1e8203018f77fd9c6db7e698ee04b056d84681f508 at 2015-12-07 08:38:18 UTC - VirusTotal
    Antivirus scan for 863dc48b7059d9a7257d7424ba5dbf8c3f811e7ecc4cfd59ec748f99805ae73d at 2015-12-07 08:38:11 UTC - VirusTotal
    https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
    https://www.virustotal.com/ru/file/...57446027f8ff01f3c9e7ac5ca657307bdd3/analysis/
    https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
    Antivirus scan for b571511c87f229bd678b1a607a77267b0024769a0c73a3b254044f0ed89330fb at 2016-01-30 08:27:18 UTC - VirusTotal

    Заметить подмену этих .dll файлов легко по логу AdwCleaner
    ***** [ DLL ] *****

    Файл Заражён : C:\WINDOWS\SysNative\dnsapi.dll
    Файл Заражён : C:\WINDOWS\SysWOW64\dnsapi.dll
    При нажатие кнопки "Очистка" AdwCleaner постарается найти в системе чистый файл и заменить им заражённый. Подробней смотрите в теме с описанием утилиты.

    Также заподозрить файл можно по логу FRST.txt в секции
    C:\windows\system32\dnsapi.dll
    [2011-10-16 16:29] - [2011-10-16 16:29] - 0357888 ____A (Microsoft Corporation) A79A4B98240D1D6936421CD07EA97B90

    C:\windows\SysWOW64\dnsapi.dll
    [2011-10-16 16:29] - [2011-10-16 16:29] - 0270336 ____A (Microsoft Corporation) 0FC0AD7D17EF396BE176558C3D2CF838

    Как самостоятельно заменить файл можете почитать в статье: Как произвести замену системных файлов Windows XP/Windows 7/Vista.
    Либо воспользоваться утилитой System File Replacer.
    На windows XP для восстановления .dll можно установить обновление безопасности Windows XP (KB2509553).

    Но помимо этой заражённой .dll в системе обычно куча и другого вирусно-адварного мусора. Поэтому если у вас аналогичная проблема, то для лечения рекомендую обратиться в раздел: Лечение компьютерных вирусов

    Примеры тем:
    Решена - Реклама ADS BY capricornus
    Решена - STEAM - вирнусные банеры в браузере стима.

    При копирование статьи рабочая ссылка на эту тему на SZ обязательна.
     
    Kиpилл, fseto, iskander-k и 3 другим нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Trojan:W32/Dllpatcher патчит системную библиотеку dnsapi.dll, чтобы указать windows на новый hosts файл, который он создаёт, в котором содержатся дополнительные имена хост адресов с указанием соответствующих им IP адресов.

    Технические детали:
    Trojan:W32/Dllpatcher пытается "пропатчить" или изменить файл dnsapi.dll, который используется службой DNS-клиента Windows в основном для кеширования доменных имён, просмотренных за время сессии. Из-за своего поведения троян также упоминается как "DLL patcher".
    Когда троян активен, он создаёт новый hosts файл, который содержит как записи из оригинального hosts файла так и добавленные им hosts с соотсветсвующими IP адресами. Затем вирус патчит dnsapi.dll, чтобы он обращался к свежесозданному hosts файлу. Впоследствии dnsapi.dll при сопоставление доменных имён IP адресу будет ссылаться на новый hosts файл.
    Этот троян чаще всего встречался во Франции, хотя также был замечен в США, Нидерландах и ряде других стран.

    Распространение и установка:
    DLL патчер включён в файл установщика, который наиболее часто скачивается и сохраняется в папку Temp, используя имя файла: extensionupdate.exe (SHA1: CA1EC9706C15C457F2515ED1921F85A348BFC5AD).
    При открытии загруженного файла из него запускается на исполнение DLL патчер. В исследуемом образце имя извлечённого файла orion.exe (SHA1:59BD1154FF4735B81DB038ECE54C230337533497). В состав файла orion.exe также входят такие компоненты:
    • libnspr4.dll
    • libplc4.dll
    • libplds4.dll
    • nss3.dll
    • nssutil3.dll
    • smime3.dll
    Создание файла и выполнение:
    Файл orion.exe создаёт новый hosts файл в расположении %windir%/system32/папка со случайным именем папки и файла. Для примера:
    Код (Text):
    C:\WINDOWS\system32\neb\okhb\vobg.dat
    Однако, длина пути к новому hosts должна соответствовать длине пути к старому hosts файлу. Новый файл имеет расширение ".dat" и содержит следующие добавленные записи:
    Код (Text):
    107.178.255.88 www.google-analytics.com
    107.178.255.88 ssl.google-analytics.com
    107.178.255.88 partner.googleadservices.com
    107.178.255.88 google-analytics.com
    107.178.248.130 static.doubleclick.net
    107.178.247.130 connect.facebook.net
    Далее DLL патчер находит файл dnsapi.dll (либо в %windir%\system32\, либо %windir%\SysWOW64\) и изменяет его, чтобы использовался свежесозданный hosts файл:

    trojan_generickd_2732606_originalhosts.png

    Путь к оригинальному hosts файлу.

    trojan_generickd_2732606_patchedhosts.png

    Измененный путь указывает на свежесозданный hosts файл.​

    Чтобы способствовать использованию нового hosts файла, при следующей загрузке системы DLL патчер задействует следующий ключ реестра для очистки кеша DNS:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cmdrun
    cmd.exe /C ipconfig /flushdns
    Это гарантирует, что информация в новом hosts файле не будет противоречить старым данным в кеше DNS.
    Также будут созданы следующие мьютексы:
    • Global\Matil da
    • Global\Nople Mento

    Защита от анализа:
    DLL патчер пытается защищаться от исследования, проверяя наличие ключей реестра, связанных с VMWare и VBox:
    Код (Microsoft Registry):
    HKLM \ DESCRIPTION \ System \ BIOS
    vbox
    HKLM \ DESCRIPTION \ System \ BIOS
    vmware  
    Он также проверяет наличие SbieDll.dll (компонент, связанный с изолированной средой Sandboxie) и различные устройства, связанные с VMware. Если какой-то из них будет найден на заражённой машине, вирус прекращает свою работу и больше ничего не делает.
    Как только вирус завершает свои задачи, его компоненты уничтожаются в тихом режиме.

    Это перевод статьи с сайта F-Secure.
    При копировании указывать ссылку на эту тему.​
     
    Последнее редактирование модератором: 10 май 2016
    Alex1983, Dragokas, orderman и ещё 1-му нравится это.

Поделиться этой страницей