Analisado por: Anthony Joe Melgarejo   
 

Win32/UnlimitedDownloads.A (ESET)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Adware

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen. Wird möglicherweise manuell von einem Benutzer installiert.

Erstellt Ordner und legt dort Dateien von sich ab.

Beinhaltet ein Deinstallationspaket, das die eingeschleusten Dateien und die erstellten Registrierungseinträge vollständig entfernt.

  Detalhes técnicos

Tipo de compactação: 166,872 bytes
Tipo de arquivo: EXE
Data de recebimento das amostras iniciais: 20 outubro 2014

Übertragungsdetails

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust die folgenden Dateien ein:

  • %User Temp%\_{11 random alphanumeric numbers 1}.bat
  • %User Temp%\_{11 random alphanumeric numbers 2}.bat
  • %User Temp%\_{11 random alphanumeric numbers 3}.bat
  • %User Temp%\_{11 random alphanumeric numbers 4}.bat

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Erstellt Ordner und legt dort Dateien von sich ab.

Erstellt die folgenden Ordner:

  • %Program Files%\Common Files\DealAlly
  • %Program Files%\Common Files\Diagnostics

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\diagnostics.js""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
DisplayName = "Diagnostics"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Description = "Diagnostics service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\proxy_master.js""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
DisplayName = "Proxy"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Description = "Proxy service"

Registriert sich als Systemdienst, damit die Ausführung bei jedem Systemstart automatisch erfolgt, indem die folgenden Registrierungsschlüssel hinzufügt werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyServer = "127.0.0.1:5050"

HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyEnable = "1"

Fügt die folgenden Registrierungsschlüssel als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly

Andere Details

Fügt die folgenden Registrierungseinträge hinzu, um der Systemsteuerung eine Deinstallationsoption hinzuzufügen:

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayName = "DealAlly"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
UninstallString = "%Program Files%\Common Files\DealAlly\uninst.exe"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayVersion = "1"

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
Publisher = "Jet Applications"

Beinhaltet ein Deinstallationspaket, das die eingeschleusten Dateien und die hinzugefügten Registrierungseinträge vollständig entfernt.