Analisado por: Paul Steven Nadera   

 

JS:Adware.Lnkr.A (Bitdefender); Adware:JS/InjectorAd.A (Microsoft); JS/Adware.Revizer.B application] (NOD32)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Adware

  • Destrutivo:
    Não

  • Criptografado:
    Não

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Überwacht die Transaktionen des Benutzers auf bestimmten Websites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Detalhes técnicos

Tipo de compactação: 215,788 bytes
Tipo de arquivo: JS
Residente na memória: Não
Data de recebimento das amostras iniciais: 02 junho 2020
Carga útil: Connects to URLs/IPs

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Datendiebstahl

Überwacht die Transaktionen des Benutzers auf folgenden Websites:

  • amazon.com
  • amazon.com.mx
  • amazon.cn
  • amazon.co.jp
  • youradexchange.com
  • websites containing boobking. , booing. , buking. , boocking. , boooking. , bookking. and booing.
  • bitconnect.co/register

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • During launch:
    • if http:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid=&tid=5851&rid=LAUNCHED&t={time in milliseconds}
    • if https:
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid=&tid=5851&rid=LAUNCHED&t={time in milliseconds}
  • After the script is loaded:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
  • Before sending request:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=BEFORE_OPTOUT_REQ&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=BEFORE_OPTOUT_REQ&t={time in milliseconds}
  • Request sending:
    • http://{BLOCKED}tcs.space/optout/get?jsonp=__twb_cb_{random number from 0 to 1000000000}&key=16dbc8c14acdb8703b&t={time in milliseconds}
  • If response is fail:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_FAIL&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_FAIL&t={time in milliseconds}
  • If response is success:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_OK&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_OK&t={time in milliseconds}
  • After script execution:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=FINISHED&custom1={current hostname}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=FINISHED&custom1={current hostname}&t={time in milliseconds}

Es macht Folgendes:

  • Avoids execution in the following domains that contains the following strings:
    • musvk
    • vkonline.xyz
    • vkunblock.com
    • dostup-{any combination of letters}.com
    • freevideodownloader
    • thisadsfor.us
    • olam-hamedia.tech
    • ok.ru
    • google
    • www.google
  • Avoids the following domains:
    • paypal.com
    • secure.
    • doubleclick.net
    • addthis.com
    • twitter.com
    • docs.google.com
    • drive.google.com
    and sends information to the following website(s):
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_IGNOREDOMAIN&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_IGNOREDOMAIN&t={time in milliseconds}
  • Monitors the following elements of a website:
    • If "link" is "chrome-webstore-item":
    • Send information to
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=PROMO_ANLZ&custom1={current hostname}&custom2={current URL}&custom3={chrome webstore item link URL}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=PROMO_ANLZ&custom1={current hostname}&custom2={current URL}&custom3={chrome webstore item link URL}&t={time in milliseconds}
    • If element "div.g" contains the following strings:
    • chrome.google.com/webstore
    • Speed Dial
    • New tab
    • start tab
    • start page
    • new page
    • home page
    • default page
    • fast dial
    • fast access
    • quick access
    • and if "a:not(.cws)" is found:
    • send information to
    • http://{BLOCKED}tcs.space/metric/?mid=1f608&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=1f608&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&t={time in milliseconds}
    • and Cookie "__mzglrl" is created
  • Checks if current hostname contains search engine strings:
    • google.
    • search.yahoo.
    • bing.com
    • ask.com
    • shopping.yahoo
    • search.aol.
    • wow.com
    • when.com
    • search.mywebsearch.com
    • search.myway.com
    • duckduckgo.com
    • mysearch.com
    • teoma.com
    • searchlock.com
    • myprivatesearch.com
    • searchprivacy.co
    • thesmartsearch.net
    • infospace
    • safefinder.com
    • mysearchguardian.com
  • Checks if current URL ends with the following strings:
    • jpg
    • png
    • jpeg
    • gif
    • bmp
    • doc
    • pdf
    • xls
    • js
    • xml
    • doc
    • docs
    • txt
    • css
    then sends information to the following website(s):
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_STATICFILE&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_STATICFILE&t={time in milliseconds}
  • If the amazon websites are accessed:
    • if "/s/" and "/gp/search/" are found in the URL:
    • get "data-asin" of items
    • get search filters
    • send information regarding the search query to:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=AMZN_SEARCH&custom1={current hostname}&custom2={search keywords}&custom3={data-asin of items}&custom4={result count}&custom5={dropdownbox text}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=AMZN_SEARCH&custom1={current hostname}&custom2={search keywords}&custom3={data-asin of items}&custom4={result count}&custom5={dropdownbox text}&t={time in milliseconds}
  • If youradexchange.com is accessed and if "a/display." string is found in the URL:
    • Redirects to http://www.{BLOCKED}exchange.com/a/display.php?r=391769&sub1=pr{parameters}
  • If websites with strings "boobking. , booing. , buking. , boocking. , boooking. , bookking. or booing." are accessed:
    • Redirects to http://{BLOCKED}s.me/get?key=6ae9f4bd1dc812dc713d61cba871d8e8&out=http%3A%2F%2Fbooking.com&ref=http%3A%2F%2Fgo.com&format=go&uid=rdr51824
  • If bitconnect.co/register is accessed:
    • Sends information to the following website(s):
    • http://{BLOCKED}tcs.space/metric/?mid=62001&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&custom1={sponsor from site}&custom2={random number from 100000 to 9999999}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=62001&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&custom1={sponsor from site}&custom2={random number from 100000 to 9999999}&t={time in milliseconds}
  • If youradexchange.com is accessed and if "a/display." string is found in the URL:
    • Redirects to http://www.{BLOCKED}exchange.com/a/display.php?r=391769&sub1=pr{parameters}

  Solução

Mecanismo de varredura mínima: 9.850
SSAPI Pattern File: 2.298.00
SSAPI Pattern Release Date: 04 junho 2020

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Adware.JS.Revizer.AK entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participe da nossa pesquisa!