Analyse von: Nikko Tamana   
 

Win32/BrowseFox.C application (NOD32)

 Plattform:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Adware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird möglicherweise manuell von einem Benutzer installiert.

Wird ausgeführt und löscht sich dann selbst.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Diese Malware kann keine Daten stehlen.

  Technische Details

Dateigröße: 203,368 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 20 Oktober 2013

Übertragungsdetails

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust folgende Dateien/Komponenten ein:

  • %Program Files%\Higher Aurum\HigherAurum.ico
  • %Program Files%\Higher Aurum\HigherAurumUninstall.exe
  • %Program Files%\Higher Aurum\{random string}.crx
  • %Program Files%\Higher Aurum\sqlite3.exe
  • %Program Files%\Higher Aurum\updateHigherAurum.InstallState
  • %Program Files%\Higher Aurum\updateHigherAurum.exe -also detected as ADW_BROWSEF

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

  • %Program Files%\Higher Aurum
  • %User Temp%\Higher Aurum

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Wird ausgeführt und löscht sich dann selbst.

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum
ImagePath = "%Program Files%\Higher Aurum\updateHigherAurum.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Higher Aurum

HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Higher Aurum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Higher Aurum
is = "bs"

HKEY_CURRENT_USER\Software\Higher Aurum
iid = "bs"

HKEY_CURRENT_USER\Software\Higher Aurum
id = "{Date and time of installation}"

HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome
ug = "CEE4277F-1BF3-4A16-8F71-A79691C0D1E9"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome
sgc = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox
sff = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer
sie = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
path = "%Program Files%\Higher Aurum\{random string}.crx"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
version = "1.0.0"

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\Higher Aurum\Setup.exe - Also detected as ADW_BROWSEF

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Diese Malware kann keine Daten stehlen.

  Lösungen

Mindestversion der Scan Engine: 9.300
SSAPI Pattern-Datei: 1.447.00
SSAPI Pattern veröffentlicht am: 24 Oktober 2013

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

ADW_BROWSEF über die eigene Option zum Deinstallieren entfernen

[ learnMore ]
Den Grayware-Prozess deinstallieren

Step 3

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %Program Files%\Higher Aurum

Step 4

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als ADW_BROWSEF entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil