Avira 病毒搜尋

Adware/Elex.170184

  • 名稱
    Adware/Elex.170184
  • 发现日期
    2015年12月16日
  • 類型
    Adware
  • 影響
     
  • 報告的感染
     
  • 作業系統
    Windows
  • VDF 版本
    7.12.36.176 (2015-12-16 09:03)

這項偵測功能對展示廣告的軟體進行標記,廣告軟體通常修改展示的頁面或打開其他帶廣告的網頁在網際網路瀏覽器上展示廣告。 這些廣告軟體程式通常是用戶自己安裝的,或者是用戶自己安裝的軟體中所攜帶的(通常是為了免費使用軟體而安裝的,或是預設安裝的)。用戶可能沒有意識到安裝了此類軟體,亦可能不知道此類軟體的行為。這項偵測功能將對正常的廣告展示軟體的檔案和行為進行標記。 如果用戶知道其電腦安裝了廣告軟體,且不想偵測這類軟體,那麼用戶可以禁用這項偵測功能,若是這樣,我們亦建議用戶禁用此功能。

  • VDF
    7.12.36.176 (2015-12-16 09:03)
  • 別名
    Dr. Web: Adware.Mutabaha.452
    Kaspersky Lab: HEUR:Trojan.Win32.Generic
    ESET: Win32/ELEX.FO application
  • 檔案
    建立下列檔案:
    • %PROGRAM FILES%\SFK\SFK.ini
    • %temporary internet files%\Content.IE5\QH9ZEEV0\z[1].php
    • %temporary internet files%\Content.IE5\QH9ZEEV0\VMwareXVirtualXIDEXHardXDrive_00000000000000000001[1].61
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OL2NK16B\SSFK[1].htm
    • %PROGRAM FILES%\SFK\GIRF
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OL2NK16B\VMwareXVirtualXIDEXHardXDrive_00000000000000000001[1].htm
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S9IRK9QF\VMwareXVirtualXIDEXHardXDrive_00000000000000000001[1].htm
    變更下列檔案:
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    • %DISKDRIVE%\Documents and Settings\LocalService\Cookies\index.dat
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat
    刪除下列檔案:
    • %temporary internet files%\Content.IE5\QH9ZEEV0\z[1].php
    • %temporary internet files%\Content.IE5\QH9ZEEV0\VMwareXVirtualXIDEXHardXDrive_00000000000000000001[1].61
    • %DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OL2NK16B\SSFK[1].htm
    • %PROGRAM FILES%\SFK\GIRF
    建立下列自身複本:
    • %PROGRAM FILES%\SFK\SSFK.exe
  • 登錄
    新增下列登錄授權碼:
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSFK ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000001; "ImagePath": "%PROGRAM FILES%\SFK\SSFK.exe -s"; "DisplayName": "SSFK"; "ObjectName": "LocalSystem"; "Description": "System Agent Service"; "FailureActions": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSFK\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSFK ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSFK\0000 ("Service": "SSFK"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "SSFK")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSFK\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "SSFK")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSFK\Enum ("0": "Root\LEGACY_SSFK\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\A ("BaseClass": "Drive")
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C ("BaseClass": "Drive")
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D ("BaseClass": "Drive")
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections ("SavedLegacySettings": %hex values%)
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
    變更下列登錄授權碼:
    • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap ("UNCAsIntranet": dword:00000001)
  • HTTP 請求
    • www.*****rch123.com/logic/z.php
    • xa.*****loud.com/v4/sof-everything/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action0=xa.geoip&action1=visit&action2=install.SSFK&update0=ref,SSFK&update1=nation,us&update2=language,en&update3=version,2.0.6.61
    • www.*****.com/inf/eve/SSFK?ver=2.0.6.61
    • xa.*****loud.com/v4/sof-everything/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=visit.SSFK.heartbeat&update3=version,2.0.6.61
    • xa.*****loud.com/v4/sof-everything/VMwareXVirtualXIDEXHardXDrive_00000000000000000001?action=visit.SSFK.heartbeat

將可疑的檔案/URL 送予我們分析,助力構建更安全的網站。

送出您的檔案/URL 或者 請前往 Avira 問答區

為何送出可疑的檔案?

如果您遇到不在我們資料庫中的可疑檔案或網站,我們會對其進行分析,確定其是否有害。我們的分析結果將向數百萬名用戶公開,並納入下一次病毒資料庫更新。如果您擁有 Avira,您也將取得此更新。尚未擁有 Avira?請前往 我們的首頁獲取。

何為 Avira 問答區?

Avira 問答區是我們大力發展的社區,由專業技術人員和兼職專家並肩合作,幫助解決技術問題。這一 Avira 用戶社區是您提出問題的絕佳場所。