Adware.Peppi

Признаки:
Приложение не устанавливается самостоятельно; пользователь должен установить его сам.
При запуске приложение создает следующие файлы:
* %UserProfile%\Start Menu\Programs\peppi_vorlagen\peppi (Vorlagen-Wizzard).lnk
* C:\Program Files\peppi_vorlagen\license.txt
* C:\Program Files\peppi_vorlagen\lisys.exe
* C:\Program Files\peppi_vorlagen\peppi.exe
* C:\Program Files\peppi_vorlagen\uninstall.bat
* %System%\system\host.exe

(%UserProfile% - директория системных настроек и файлов текущего пользователя;
%System% - системная директория Windows)

Через реестр обеспечивает себе автозагрузку при старте Windows:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"vhost" = "%System%\host.exe"

Также создает в реестре записи:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\peppi (Vorlagen-Wizzard)\"DisplayName" = "peppi (Vorlagen-Wizzard)"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\peppi (Vorlagen-Wizzard)\"UninstallString" = "C:\Program Files\peppi_vorlagen\lisys.exe"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"AutoConfigURL" = "file://%UserProfile%\Application Data\proxy.pac"
* HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\"EnableAutoProxyResultCache" = "0"

Подключается к удаленному серверу (89.107.66.239) для получения инструкций от атакующего.

Приложение может изменять результаты поиска, загружаемые с поисковых порталов, отображать рекламу и заменять стартовую страницу Internet Explorer.

Разработчик: Synatix GmbH


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Приложение для платформы Windows, отображающее рекламу без ведома пользователя. Модифицирует содержимое веб-страниц поисковых систем с результатами поиска, внедряя туда рекламу. Изменяет домашнюю страницу браузера Internet Explorer.