В последнее время стала популярна реклама в браузерах Powered by Capricornus. Примеры этой рекламы под спойлером
Помимо этого могут самостоятельно открываться новые вкладки.
Причина в пропатченных вирусом системных библиотеках dnsapi.dll (Domain Name Server Client Application Programming Interface).
Для x32 систем располагается здесь
При нажатие кнопки "Очистка" AdwCleaner постарается найти в системе чистый файл и заменить им заражённый. Подробней смотрите в теме с описанием утилиты.
Также заподозрить файл можно по логу FRST.txt в секции
Но помимо этой заражённой .dll в системе обычно куча и другого вирусно-адварного мусора. Поэтому если у вас аналогичная проблема, то для лечения рекомендую обратиться в раздел: Лечение компьютерных вирусов
Trojan:W32/Dllpatcher патчит системную библиотеку dnsapi.dll, чтобы указать windows на новый hosts файл, который он создаёт, в котором содержатся дополнительные имена хост адресов с указанием соответствующих им IP адресов.
Технические детали:
Trojan:W32/Dllpatcher пытается "пропатчить" или изменить файл dnsapi.dll, который используется службой DNS-клиента Windows в основном для кеширования доменных имён, просмотренных за время сессии. Из-за своего поведения троян также упоминается как "DLL patcher".
Когда троян активен, он создаёт новый hosts файл, который содержит как записи из оригинального hosts файла так и добавленные им hosts с соотсветсвующими IP адресами. Затем вирус патчит dnsapi.dll, чтобы он обращался к свежесозданному hosts файлу. Впоследствии dnsapi.dll при сопоставление доменных имён IP адресу будет ссылаться на новый hosts файл.
Этот троян чаще всего встречался во Франции, хотя также был замечен в США, Нидерландах и ряде других стран.
Распространение и установка:
DLL патчер включён в файл установщика, который наиболее часто скачивается и сохраняется в папку Temp, используя имя файла: extensionupdate.exe (SHA1: CA1EC9706C15C457F2515ED1921F85A348BFC5AD).
При открытии загруженного файла из него запускается на исполнение DLL патчер. В исследуемом образце имя извлечённого файла orion.exe (SHA1:59BD1154FF4735B81DB038ECE54C230337533497). В состав файла orion.exe также входят такие компоненты:
libnspr4.dll
libplc4.dll
libplds4.dll
nss3.dll
nssutil3.dll
smime3.dll
Создание файла и выполнение:
Файл orion.exe создаёт новый hosts файл в расположении %windir%/system32/папка со случайным именем папки и файла. Для примера:
Код:
C:\WINDOWS\system32\neb\okhb\vobg.dat
Однако, длина пути к новому hosts должна соответствовать длине пути к старому hosts файлу. Новый файл имеет расширение ".dat" и содержит следующие добавленные записи:
Далее DLL патчер находит файл dnsapi.dll (либо в %windir%\system32\, либо %windir%\SysWOW64\) и изменяет его, чтобы использовался свежесозданный hosts файл:
Путь к оригинальному hosts файлу.
Измененный путь указывает на свежесозданный hosts файл.
Чтобы способствовать использованию нового hosts файла, при следующей загрузке системы DLL патчер задействует следующий ключ реестра для очистки кеша DNS:
Это гарантирует, что информация в новом hosts файле не будет противоречить старым данным в кеше DNS.
Также будут созданы следующие мьютексы:
Global\Matil da
Global\Nople Mento
Защита от анализа:
DLL патчер пытается защищаться от исследования, проверяя наличие ключей реестра, связанных с VMWare и VBox:
Код:
HKLM \ DESCRIPTION \ System \ BIOS
vbox
HKLM \ DESCRIPTION \ System \ BIOS
vmware
Он также проверяет наличие SbieDll.dll (компонент, связанный с изолированной средой Sandboxie) и различные устройства, связанные с VMware. Если какой-то из них будет найден на заражённой машине, вирус прекращает свою работу и больше ничего не делает.
Как только вирус завершает свои задачи, его компоненты уничтожаются в тихом режиме.