检出名

Adware.MPE.OpenCandy

别名

文件类型

可执行PE

简介

一种广告程序。OpenCandy是一个由SweetLabs制作的广告软件模块。它旨在与另一个程序的安装程序捆绑在一起,秘密地安装到使用该安装程序的计算机上。OpenCandy包含一个Microsoft Windows库,使其更容易集成到Windows安装程序中。当用户安装捆绑了OpenCandy库的应用程序时,会出现一个选项,用于根据对用户系统和地理位置的扫描来安装它推荐的软件。默认情况下,它生成的选项和产品和服务都处于选中状态,除非用户在继续安装之前取消选中它们,否则将安装它们。它具有rootkit功能,劫持受感染用户的互联网浏览器并篡改他们的偏好。它具有跟踪,记录和报告受感染用户的互联网浏览活动,以及扰乱用户体验的能力。在大多数情况下,OpenCandy与免费软件的安装程序捆绑在一起。OpenCandy一旦安装在用户的计算机上,会对用户体验的造成诸多不利影响包括更改被感染用户的浏览器主页、桌面背景和默认搜索提供程序,以及显示不需要的广告以及安装不需要或安全性未知的浏览器工具栏和浏览器插件、扩展或附加组件。OpenCandy还能够在没有任何通知或同意的情况下向第三方提供与受感染用户的互联网浏览习惯有关的信息。

主要影响

数据窃取

资源劫持

流氓推广

首页劫持

降低用户体验

文件目录行为

释放文件:

C:\Documents and Settings\Administrator\Local Settings\Temp\nsz1C.tmp\System.dll

C:\Documents and Settings\Administrator\Local Settings\Temp\nsz1C.tmp\OCSetupHlp.dll

注册表行为

此广告软件添加以下注册表项:

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy\Completed

它添加了以下注册表项:

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy

VOCV=“0”

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy

OCN=“{hex values}”

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy\Completed

VOCV=“0”

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy\Completed\{random}

Session=“{hex values}”

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy\Completed\{random}

CRC=“{hex values}”

HKEY_LOCAL_MACHINE\Software\Martin Prikryl\WinSCP 2\OpenCandy\Completed\{random}

Installed=“{hex values}”

网络行为

连接网址:

tracking[.]opencandy[.]com[.]s3[.]amazonaws[.]com

media[.]opencandy[.]com

cdn[.]opencandy[.]com

cdn[.]putono5[.]com

tracking[.]opencandy[.]com

api[.]opencandy[.]com

www[.]arcadefrontier[.]com