Analysé par: Nikko Tamana   
 

Win32/BrowseFox.C application (NOD32)

 Plate-forme:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Adware

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

Wird möglicherweise manuell von einem Benutzer installiert.

Wird ausgeführt und löscht sich dann selbst.

Diese Malware hat keine Verbreitungsroutine.

Diese Malware hat keine Backdoor-Routine.

Diese Malware kann keine Daten stehlen.

  Détails techniques

File size: 203,368 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 20 octobre 2013

Übertragungsdetails

Wird möglicherweise manuell von einem Benutzer installiert.

Installation

Schleust folgende Dateien/Komponenten ein:

  • %Program Files%\Higher Aurum\HigherAurum.ico
  • %Program Files%\Higher Aurum\HigherAurumUninstall.exe
  • %Program Files%\Higher Aurum\{random string}.crx
  • %Program Files%\Higher Aurum\sqlite3.exe
  • %Program Files%\Higher Aurum\updateHigherAurum.InstallState
  • %Program Files%\Higher Aurum\updateHigherAurum.exe -also detected as ADW_BROWSEF

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Erstellt die folgenden Ordner:

  • %Program Files%\Higher Aurum
  • %User Temp%\Higher Aurum

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Wird ausgeführt und löscht sich dann selbst.

Autostart-Technik

Registriert sich als Systemdienst, damit sie bei jedem Systemstart automatisch ausgeführt wird, indem sie die folgenden Registrierungseinträge hinzufügt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum
ImagePath = "%Program Files%\Higher Aurum\updateHigherAurum.exe"

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Higher Aurum

HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Higher Aurum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\Higher Aurum
is = "bs"

HKEY_CURRENT_USER\Software\Higher Aurum
iid = "bs"

HKEY_CURRENT_USER\Software\Higher Aurum
id = "{Date and time of installation}"

HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome
ug = "CEE4277F-1BF3-4A16-8F71-A79691C0D1E9"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome
sgc = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox
sff = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer
sie = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
path = "%Program Files%\Higher Aurum\{random string}.crx"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
version = "1.0.0"

Verbreitung

Diese Malware hat keine Verbreitungsroutine.

Backdoor-Routine

Diese Malware hat keine Backdoor-Routine.

Download-Routine

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

  • %User Temp%\Higher Aurum\Setup.exe - Also detected as ADW_BROWSEF

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Datendiebstahl

Diese Malware kann keine Daten stehlen.

  Solutions

Moteur de scan minimum: 9.300
SSAPI Pattern File: 1.447.00
SSAPI Pattern Release Date: 24 octobre 2013

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

ADW_BROWSEF über die eigene Option zum Deinstallieren entfernen

[ learnMore ]
Den Grayware-Prozess deinstallieren

Step 3

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %Program Files%\Higher Aurum

Step 4

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als ADW_BROWSEF entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participez à notre enquête!