Análisis realizado por : Arvin Roi Macaraeg   
 Alias

Win32:UnwantedSig [PUP](AVAST); Win32/Toolbar.MyWebSearch.BA potentially unwanted application(NOD32);

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Potentially Unwanted Application

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Cambia la página de inicio de Internet Explorer del usuario a un determinado sitio Web. Esta acción permite que el malware dirija a un sitio Web que contiene malware y aumente el riesgo de infección de malware del equipo afectado.

  Detalles técnicos

Tamaño del archivo 391,392 bytes
Tipo de archivo EXE
Residente en memoria No
Fecha de recepción de las muestras iniciales 06 marzo 2019

Instalación

Infiltra los archivos siguientes:

  • %AppDataLocal%\MapsGalaxyTooltab\TooltabExtension.dll
  • %User Temp%\nsp{random}.tmp\reporting
  • %User Temp%\nsp{random}.tmp\cancel_japanese_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\installerParams
  • %User Temp%\nsp{random}.tmp\Install_JPN_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\MG_jpn_msi_bg-copy_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\nsDialogs.dll
  • %User Temp%\nsp{random}.tmp\reporting
  • %User Temp%\nsp{random}.tmp\System.dll

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\MapsGalaxy
Start Page = "http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc"

HKEY_CURRENT_USER\Software\MapsGalaxy
UnInstallSurveyUrl = "https://@{downloadDomain}.{BLOCKED}l.{BLOCKED}y.com/uninstall.jhtml?c=3AC183E7-0B25-4864-9A49-565D8D71FEA3&ptb=^UX^mni000^LMJAJP"

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc"

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Cambia la página de inicio de Internet Explorer del usuario a los siguientes sitios Web:

  • http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc