Analysé par: Arvin Roi Macaraeg   
 

Win32:UnwantedSig [PUP](AVAST); Win32/Toolbar.MyWebSearch.BA potentially unwanted application(NOD32);

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Potentially Unwanted Application

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Ändert die Startseite im Internet Explorer des Benutzers. Dadurch verweist die Malware auf eine Website, die möglicherweise Malware enthält, so dass sich das Infektionsrisiko des betroffenen Computers erhöht.

  Détails techniques

File size: 391,392 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 06 mars 2019

Installation

Schleust die folgenden Dateien ein:

  • %AppDataLocal%\MapsGalaxyTooltab\TooltabExtension.dll
  • %User Temp%\nsp{random}.tmp\reporting
  • %User Temp%\nsp{random}.tmp\cancel_japanese_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\installerParams
  • %User Temp%\nsp{random}.tmp\Install_JPN_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\MG_jpn_msi_bg-copy_{random nubers}.bmp
  • %User Temp%\nsp{random}.tmp\nsDialogs.dll
  • %User Temp%\nsp{random}.tmp\reporting
  • %User Temp%\nsp{random}.tmp\System.dll

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:

HKEY_CURRENT_USER\Software\MapsGalaxy
Start Page = "http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc"

HKEY_CURRENT_USER\Software\MapsGalaxy
UnInstallSurveyUrl = "https://@{downloadDomain}.{BLOCKED}l.{BLOCKED}y.com/uninstall.jhtml?c=3AC183E7-0B25-4864-9A49-565D8D71FEA3&ptb=^UX^mni000^LMJAJP"

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc"

Änderung der Startseite von Webbrowser und Suchseite

Ändert die Startseite im Internet Explorer des Benutzers auf folgende Webseiten:

  • http://{BLOCKED}p.{BLOCKED}y.com/mapsgalaxy/lmjajp/index.html?n=78584B19&p2=^UX^mni000^LMJAJP&ptb=3AC183E7-0B25-4864-9A49-565D8D71FEA3&coid=b0a3b24d849846deb095975eb0fbbfdc