Peapoon reklámprogram

CH azonosító

CH-12551

Angol cím

Adware:Win32/Peapoon

Felfedezés dátuma

2015.08.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 10, Windows 8.1, Windows 7, Windows Vista

Összefoglaló

A Peapoon reklámprogram egy kuponos alkalmazás formájában terjed. A telepítése aktív felhasználói közreműködést igényel, mivel egy hagyományos, Windows-os alkalmazásoknál megszokott telepítőprogram tartozik hozzá. Amennyiben ezt a felhasználó – akár csak kíváncsiságból – feltelepíti, akkor olyan módosítások történnek a számítógépén, amelyek nem sokkal később sok kellemetlenség forrásául szolgálhatnak.

A Peapoon reklámprogram alapvetően kétféle módon jeleníti meg a nemkívánatos reklámokat. Egyrészt manipulálja a webböngészőben megjelenő weboldalakat, és azokba ágyazza be a hirdetéseket vagy a linkeket. Másrészt pedig rendszeresen felbukkanó ablakokkal bosszantja a felhasználót.

Leírás

1. Létrehozza a következő állományokat:
%TEMP%is-reg29.tmp_isetup_shfoldr.dll
%ProgramFiles%Coupoon
%ProgramFiles%CoupoonSSL
%ProgramData%abc
%ALLUSERSPROFILE%abc
%SystemRoot%end
%ProgramFiles%Coupoon64.ico
%ProgramFiles%Coupooniiwjljrnpc.exe
%ProgramFiles%Coupoonlibeay32.dll
%ProgramFiles%Coupoonnfapi.dll
%ProgramFiles%Coupoonnfregdrv.exe
%ProgramFiles%CoupoonProtocolFilters.dll
%ProgramFiles%Coupoonssleay32.dll
%ProgramFiles%Coupoonunins000.dat
%ProgramFiles%Coupoonunins000.exe
%ProgramFiles%CoupoonUpdateCheck.exe
%ProgramFiles%abc17AF54B9
%ProgramFiles%abc4DEDA591
%ProgramFiles%abc6C8E155
%ProgramFiles%abc9721B0CB
%ProgramFiles%abc99E1F920
%ProgramFiles%abcAA012CZ
%ProgramFiles%abcC78F0747
%ALLUSERSPROFILE%abc17AF54B9
%ALLUSERSPROFILE%abc4DEDA591
%ALLUSERSPROFILE%abc6C8E155
%ALLUSERSPROFILE%abc9721B0CB
%ALLUSERSPROFILE%abc99E1F920
%ALLUSERSPROFILE%abcAA012CZ
%ALLUSERSPROFILE%abcC78F0747
%SystemRoot%driversnetfilter.sys
%SystemRoot%Temp3k7f6.exe
%SystemRoot%Temp52scn1h.exe
%SystemRoot%Temp6n8b10y1v.exe

2. A regisztrációs adatbázist kiegészíti a következő bejegyzésekkel:
HKEY_LOCAL_MACHINESOFTWAREcoupoon 
HKEY_LOCAL_MACHINESOFTWAREcoupooncoupoon 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesCoupoonService 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesnetfilter 
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUpdateCheck 
HKEY_USERS.DEFAULTSoftwareAppDataLowSoftwarecoupoon

3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesCoupoonServiceiiwjljrnpc.exe=”%ProgramFiles%coupooniiwjljrnpc.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesnetfilternetfilter.sys=”%SystemRoot%driversnetfilter.sys”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesUpdateCheckUpdateCheck.exe=”%ProgramFiles%CoupoonUpdateCheck.exe run”

4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a számítógépen.

5. Különféle folyamatokat fertőz meg.

6. Hirdetéseket jelenít meg a webböngészőkben.

7. Felbukkanó reklámokkal bosszantja a felhasználót.

Megoldás

Az alábbi ingyenes Microsoft szoftverek használhatóak a fertőzés detektálására és eltávolítására:


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »