Analyse von: Jaime Benigno Reyes   
 

Riskware/InstallCore (Fortinet)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Adware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Ja

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen. Wird möglicherweise manuell von einem Benutzer installiert.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigröße: Variiert
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 27 Januar 2015
Schadteil: Downloads files, Connects to URLs/IPs

Übertragungsdetails

Wird als eine Komponente eines Malware-/Grayware-/Spyware-Pakets übertragen.

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust folgende Komponentendateien ein:

  • %Desktop%\Continue File Opener Installation.lnk - shortcut pointing to the adware
  • %Desktop%\Continue Super Fast Download Manger Installation.lnk - shortcut pointing to the adware

(Hinweis: %Desktop% ist der Ordner 'Desktop' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Desktop unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Desktop unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Desktop unter Windows 2000, XP und Server 2003.)

Download-Routine

Öffnet die folgenden Websites, um Dateien herunterzuladen:

  • http://{BLOCKED}3.amazonaws.com/Adlsoft/releases/DownloadManagerV2.exe
  • http://{BLOCKED}3.amazonaws.com/Tweaks/distros/FileOpenerSetupG.exe

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\ICReinstall_{adware filename}.exe - installer file

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • http://{BLOCKED}p.coolvideoconverter.com/?pcrc={random number}&v={version}
  • http://{BLOCKED}s.miponydownloadmanager.org/CM_DS/?v={version}&c={random number}
  • http://{BLOCKED}s.soft-opener.org/CM_DS/?v={version}&c={random number}

  Lösungen

Mindestversion der Scan Engine: 9.700

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt. Achten Sie auf Dateien, die als ADW_INSTACORE.GA entdeckt werden

Step 4

Diese Dateien suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.  
  • %User Temp%\ICReinstall_{adware filename}.exe
  • %Desktop%\Continue File Opener Installation.lnk
  • %Desktop%\Continue Super Fast Download Manger Installation.lnk
DATA_GENERIC_FILENAME_1
  • Wählen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und drücken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und drücken Sie UMSCHALT+ENTF, um sie endgültig zu löschen.
  • Wiederholen Sie die Schritte 2 bis 4 für die übrigen Dateien:
       
      • %User Temp%\ICReinstall_{adware filename}.exe
      • %Desktop%\Continue File Opener Installation.lnk
      • %Desktop%\Continue Super Fast Download Manger Installation.lnk


    • Nehmen Sie an unserer Umfrage teil