概述
别名
Adware/SearchFast [Panda], Adware/SideFind [Panda], Spyware/ISTbar [Panda], Trojan Horse [Panda], TrojanDownloader.Win32.Istbar.eo, TrojanDownloader.Win32.IstBar.gen [Kaspersky], 类别
Hijacker : 重新设置您的浏览器,使其指向其他站点的任何软件。 劫持时可能会将您的信息及您请求的地址改变路径发送,使其经由一个不可见的站点,以便捕获那些信息。 在这样的劫持中,您的浏览器可能仍能正常运行,只是稍微慢一些。 Browser Helper Object: (BHO)。 无论 Internet Explorer 何时启动都会加载的组件,它分享 IE 的内存上下文并能在可用窗口和模块执行任何操作。 BHO 可以检测事件、创建窗口显示查看页面的附加信息、监控消息和操作。 Microsoft 将其称为“我们送去渗透浏览器国土的间谍”。BHO 不会被个人防火墙拦截,因为防火墙将其看作您的浏览器自身。 有些使用这种技术的 exploit 程序会搜索您在 IE 里浏览的所有页面并将标志 (banner) 广告替换成其他广告。 有些会监视并报告您的操作。 有些则会更改您的主页。 Downloader: 设计用于在运行时检索并安装附加文件的程序。 大部分这类程序会被配置为从指定的 web 或 FTP 站点进行检索。 Search Hijacker: 执行搜索时将您的浏览器设置为指向其他站点的任何软件 劫持时可能会将您的信息及您请求的地址改变路径发送,使其经由一个不可见的站点,以便捕获这些信息。 在这样的劫持中,您的浏览器可能仍能正常运行,只是稍微慢一些。 这样的劫持程序运行时的搜索结果有时会和没有被劫持时的结果不同。 Trojan: 有隐藏意图的任何程序。 特洛伊木马程序是侵入计算机的主要方式之一。 如果您的程序在访问聊天室、新的小组或阅读未经请求的邮件后被破坏,则该程序可能感染了具有某种破坏目的的特洛伊木马程序。 单词 Trojan(特洛伊)可以用作动词:要 trojan 一个程序意即向现有的程序添加破坏性功能。 例如,被 trojan 了的登录程序可能会被编程为接受某个不限定用户的特定密码,这样骇客就可以在任何时间使用该密码登录回系统。 Rootkit 经常包含像这样被 trojan 了的程序组。 保留的理由
没有用户允许改变浏览器设置不同的主页。 发源
作者
Slotch.com 发源日期
2004年8月 传播
SideFind: 0.4% 感染程度
SideFind: 13 受影响的国家
在过去的三个月中,我们接收到以下地区关于SideFind的报告:
阿根廷,澳大利亚,比利时,巴西,保加利亚,加拿大,中国,埃及,法国,德国,希腊,香港,匈牙利,爱尔兰,意大利,日本,墨西哥,荷兰,新西兰,挪威,波兰,葡萄牙,俄国,斯洛伐克,西班牙,瑞典,瑞士,台湾,泰国,土耳其,英国,美国,津巴布韦。 增长
SideFind:没有足够数据来报告其发展趋势 要求的存储空间
SideFind: 最少1037KB 浏览器性能
可能降低 IE 的性能。 检测和删除
手工删除
按照以下步骤从您的机器删除SideFind。先备份您的注册表和系统,并设置一个还原点,防止发生错误。
停止运行进程:
利用任务管理器停止以下运行进程:
desktopdir+\sidefind[1].exe
profilepath+\local settings\temp\sidefind.exe
profilepath+\locals~1\temp\sidefind.exe
programfilesdir+\sidefind\update\sidefind.exe
srchupdt.exe 撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
programfilesdir+\sidefind\sfbho.dll
programfilesdir+\sidefind\sidefind.dll
programfilesdir+\sidefind\sidefind13.dll
srchfst.dll 清除注册表:
使用注册表编辑器清除以下注册项(如果存在):
HKEY_CLASSES_ROOT\browserhelperobject.bahelper
HKEY_CLASSES_ROOT\browserhelperobject.bahelper.1
HKEY_CLASSES_ROOT\clsid\{8cba1b49-8144-4721-a7b1-64c578c9eed7}
HKEY_CLASSES_ROOT\clsid\{a3fdd654-a057-4971-9844-4ed8e67dbbb8}
HKEY_CLASSES_ROOT\sidefind.finder
HKEY_CLASSES_ROOT\sidefind.finder.1
HKEY_CURRENT_USER\software\microsoft\internet explorer\explorer bars\{8cba1b49-8144-4721-a7b1-64c578c9eed7}
HKEY_CURRENT_USER\software\microsoft\internet explorer\extensions\cmdmapping\{10e42047-deb9-4535-a118-b3f6ec39b807}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{10e42047-deb9-4535-a118-b3f6ec39b807}
HKEY_LOCAL_MACHINE\software\microsoft\sidefind
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{a3fdd654-a057-4971-9844-4ed8e67dbbb8}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sidefind
HKEY_LOCAL_MACHINE\software\sidefind 删除文件:
使用资源管理器删除以下文件(如果存在):
desktopdir+\sidefind[1].exe
profilepath+\local settings\temp\sidefind.exe
profilepath+\locals~1\temp\sidefind.exe
programfilesdir+\sidefind\sfbho.dll
programfilesdir+\sidefind\sidefind.dll
programfilesdir+\sidefind\sidefind13.dll
programfilesdir+\sidefind\update\sidefind.exe
sfexd001
sidefind.txt
sidefind[1].exe-25dc5687.pf
srchfst.dll
srchupdt.exe 删除目录:
使用资源管理器删除以下目录(如果存在):
programfilesdir+\sidefind
programfilesdir+\sidefind\update 调查
文件分析
SideFind
调查方式
间谍软件研究中心 |
