Analyse von: Arvin Roi Macaraeg   
 

Win32:UnwantedSig [PUP](AVAST); Win32/Toolbar.MyWebSearch.BA potentially unwanted application(NOD32);

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Potentially Unwanted Application

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Ändert die Startseite im Internet Explorer des Benutzers. Dadurch verweist die Malware auf eine Website, die möglicherweise Malware enthält, so dass sich das Infektionsrisiko des betroffenen Computers erhöht.

  Technische Details

Dateigröße: 391,392 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 06 März 2019

Installation

Schleust die folgenden Dateien ein:

  • %AppDataLocal%\MapsGalaxyTooltab\TooltabExtension.dll
  • %User Temp%\nsp{random}.tmp\reporting
  • %User Temp%\nsp{random}.tmp\cancel_japanese_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\installerParams
  • %User Temp%\nsp{random}.tmp\Install_JPN_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\MG_jpn_msi_bg-copy_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\nsDialogs.dll
  • %User Temp%\nsp{random}.tmp\reporting
  • %User Temp%\nsp{random}.tmp\System.dll

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\MapsGalaxy
Start Page = "http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc"

HKEY_CURRENT_USER\Software\MapsGalaxy
UnInstallSurveyUrl = "https://@{downloadDomain}.{BLOCKED}l.{BLOCKED}y.com/uninstall.jhtml?c=3AC183E7-0B25-4864-9A49-565D8D71FEA3&ptb=^UX^mni000^LMJAJP"

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc"

Änderung der Startseite von Webbrowser und Suchseite

Ändert die Startseite im Internet Explorer des Benutzers auf folgende Webseiten:

  • http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc