Как удалить рекламу Powered by Capricornus

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
14,886
Реакции
6,796
В последнее время стала популярна реклама в браузерах Powered by Capricornus. Примеры этой рекламы под спойлером
Скрин 1.jpg
b7f938b230e5f4b6e9ab2dda9339620f.jpg

Помимо этого могут самостоятельно открываться новые вкладки.

Причина в пропатченных вирусом системных библиотеках dnsapi.dll (Domain Name Server Client Application Programming Interface).
Для x32 систем располагается здесь
Код:
C:\Windows\system32\DNSAPI.dll
Для x64
Код:
C:\WINDOWS\SysNative\dnsapi.dll
C:\WINDOWS\SysWOW64\dnsapi.dll
Она используется системой в основном для конвертации IP-адреса из имени в адрес и обратно.

Детектируется антивирусом касперского Trojan.Win32.Patched.qw и соответственно Trojan.Win64.Patched.qw, название детектов другими антивирусов можете посмотреть по ссылкам:
Antivirus scan for f595a6dc098cbe09256ce2b4540faeb818b2989c92e991b47495cd614312b9f4 at 2015-12-29 18:47:44 UTC - VirusTotal
Antivirus scan for d9b3b3dd5064e7313dd6ed1e8203018f77fd9c6db7e698ee04b056d84681f508 at 2015-12-07 08:38:18 UTC - VirusTotal
Antivirus scan for 863dc48b7059d9a7257d7424ba5dbf8c3f811e7ecc4cfd59ec748f99805ae73d at 2015-12-07 08:38:11 UTC - VirusTotal
https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
https://www.virustotal.com/ru/file/...57446027f8ff01f3c9e7ac5ca657307bdd3/analysis/
https://www.virustotal.com/ru/file/...ac4d405dae3e54807049a42fcd1a562c4bb/analysis/
Antivirus scan for b571511c87f229bd678b1a607a77267b0024769a0c73a3b254044f0ed89330fb at 2016-01-30 08:27:18 UTC - VirusTotal

Заметить подмену этих .dll файлов легко по логу AdwCleaner
***** [ DLL ] *****

Файл Заражён : C:\WINDOWS\SysNative\dnsapi.dll
Файл Заражён : C:\WINDOWS\SysWOW64\dnsapi.dll
При нажатие кнопки "Очистка" AdwCleaner постарается найти в системе чистый файл и заменить им заражённый. Подробней смотрите в теме с описанием утилиты.

Также заподозрить файл можно по логу FRST.txt в секции
C:\windows\system32\dnsapi.dll
[2011-10-16 16:29] - [2011-10-16 16:29] - 0357888 ____A (Microsoft Corporation) A79A4B98240D1D6936421CD07EA97B90

C:\windows\SysWOW64\dnsapi.dll
[2011-10-16 16:29] - [2011-10-16 16:29] - 0270336 ____A (Microsoft Corporation) 0FC0AD7D17EF396BE176558C3D2CF838

Как самостоятельно заменить файл можете почитать в статье: Как произвести замену системных файлов Windows XP/Windows 7/Vista.
Либо воспользоваться утилитой System File Replacer.
На windows XP для восстановления .dll можно установить обновление безопасности Windows XP (KB2509553).

Но помимо этой заражённой .dll в системе обычно куча и другого вирусно-адварного мусора. Поэтому если у вас аналогичная проблема, то для лечения рекомендую обратиться в раздел: Лечение компьютерных вирусов

Примеры тем:
Решена - Реклама ADS BY capricornus
Решена - STEAM - вирнусные банеры в браузере стима.

При копирование статьи рабочая ссылка на эту тему на SZ обязательна.
 
Trojan:W32/Dllpatcher патчит системную библиотеку dnsapi.dll, чтобы указать windows на новый hosts файл, который он создаёт, в котором содержатся дополнительные имена хост адресов с указанием соответствующих им IP адресов.

Технические детали:
Trojan:W32/Dllpatcher пытается "пропатчить" или изменить файл dnsapi.dll, который используется службой DNS-клиента Windows в основном для кеширования доменных имён, просмотренных за время сессии. Из-за своего поведения троян также упоминается как "DLL patcher".
Когда троян активен, он создаёт новый hosts файл, который содержит как записи из оригинального hosts файла так и добавленные им hosts с соотсветсвующими IP адресами. Затем вирус патчит dnsapi.dll, чтобы он обращался к свежесозданному hosts файлу. Впоследствии dnsapi.dll при сопоставление доменных имён IP адресу будет ссылаться на новый hosts файл.
Этот троян чаще всего встречался во Франции, хотя также был замечен в США, Нидерландах и ряде других стран.

Распространение и установка:
DLL патчер включён в файл установщика, который наиболее часто скачивается и сохраняется в папку Temp, используя имя файла: extensionupdate.exe (SHA1: CA1EC9706C15C457F2515ED1921F85A348BFC5AD).
При открытии загруженного файла из него запускается на исполнение DLL патчер. В исследуемом образце имя извлечённого файла orion.exe (SHA1:59BD1154FF4735B81DB038ECE54C230337533497). В состав файла orion.exe также входят такие компоненты:
  • libnspr4.dll
  • libplc4.dll
  • libplds4.dll
  • nss3.dll
  • nssutil3.dll
  • smime3.dll
Создание файла и выполнение:
Файл orion.exe создаёт новый hosts файл в расположении %windir%/system32/папка со случайным именем папки и файла. Для примера:
Код:
C:\WINDOWS\system32\neb\okhb\vobg.dat
Однако, длина пути к новому hosts должна соответствовать длине пути к старому hosts файлу. Новый файл имеет расширение ".dat" и содержит следующие добавленные записи:
Код:
107.178.255.88 www.google-analytics.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net

Далее DLL патчер находит файл dnsapi.dll (либо в %windir%\system32\, либо %windir%\SysWOW64\) и изменяет его, чтобы использовался свежесозданный hosts файл:

trojan_generickd_2732606_originalhosts.png


Путь к оригинальному hosts файлу.

trojan_generickd_2732606_patchedhosts.png


Измененный путь указывает на свежесозданный hosts файл.​

Чтобы способствовать использованию нового hosts файла, при следующей загрузке системы DLL патчер задействует следующий ключ реестра для очистки кеша DNS:
Код:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cmdrun
cmd.exe /C ipconfig /flushdns
Это гарантирует, что информация в новом hosts файле не будет противоречить старым данным в кеше DNS.
Также будут созданы следующие мьютексы:
  • Global\Matil da
  • Global\Nople Mento

Защита от анализа:
DLL патчер пытается защищаться от исследования, проверяя наличие ключей реестра, связанных с VMWare и VBox:
Код:
HKLM \ DESCRIPTION \ System \ BIOS
vbox
HKLM \ DESCRIPTION \ System \ BIOS
vmware
Он также проверяет наличие SbieDll.dll (компонент, связанный с изолированной средой Sandboxie) и различные устройства, связанные с VMware. Если какой-то из них будет найден на заражённой машине, вирус прекращает свою работу и больше ничего не делает.
Как только вирус завершает свои задачи, его компоненты уничтожаются в тихом режиме.

Это перевод статьи с сайта F-Secure.
При копировании указывать ссылку на эту тему.​
 
Последнее редактирование модератором:
Назад
Сверху Снизу