ADW_INCORE

Puede haberlo instalado manualmente un usuario.

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos.

Detalles de entrada

Puede haberlo instalado manualmente un usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %User Temp%\is{random numbers}\{random numbers}.cfg
• %User Temp%\is{random numbers}\{random numbers}.cfg
• %User Temp%\is{random numbers}\{random numbers}.cfg
• %User Temp%\is{random numbers}\{random numbers}.cfg
• %User Temp%\is{random numbers}\{random numbers}_Setup.CIS
• %User Temp%\is{random numbers}\[random numbers}_Setup.CIS
• %User Temp%\ish{random numbers}\blank.gif
• %User Temp%\ish{random numbers}\css\buttons.css
• %User Temp%\ish{random numbers}\css\ie6_main.css
• %User Temp%\ish{random numbers}\css\main.css
• %User Temp%\ish{random numbers}\css\sdk-ui\browse.css
• %User Temp%\ish{random numbers}\css\sdk-ui\button.css
• %User Temp%\ish{random numbers}\css\sdk-ui\checkbox.css
• %User Temp%\ish{random numbers}\css\sdk-ui\images\button-bg.png
• %User Temp%\ish{random numbers}\css\sdk-ui\images\progress-bg.png
• %User Temp%\ish{random numbers}\css\sdk-ui\progress-bar.css
• %User Temp%\ish{random numbers}\defaultOffer\offer_code.dat
• %User Temp%\ish{random numbers}\defaultOffer\offer_html.dat
• %User Temp%\ish{random numbers}\defaultOffer\US\offer_code.dat
• %User Temp%\ish{random numbers}\defaultOffer\US\offer_html.dat
• %User Temp%\ish{random numbers}\images\back-button.png
• %User Temp%\ish{random numbers}\images\Bg.jpg
• %User Temp%\ish{random numbers}\images\close_button.png
• %User Temp%\ish{random numbers}\images\finish-button.png
• %User Temp%\ish{random numbers}\images\finish_button.jpg
• %User Temp%\ish{random numbers}\images\icon.png
• %User Temp%\ish{random numbers}\images\loader.gif
• %User Temp%\ish{random numbers}\images\next-button-over.png
• %User Temp%\ish{random numbers}\images\next-button.png
• %User Temp%\ish{random numbers}\images\progress-bg.png
• %User Temp%\ish{random numbers}\images\skip-button.png
• %User Temp%\ish{random numbers}\images\Software.png
• %User Temp%\ish{random numbers}\license.txt
• %User Temp%\ish{random numbers}\locale\EN.locale
• %Desktop%\Continue FoxTab PDF Converter Installation.lnk

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %User Temp%\ICReinstall_{malware filename}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Crea las carpetas siguientes:

• %User Temp%\is{random numbers}
• %User Temp%\ish{random numbers}
• %User Temp%\ish{random numbers}\css
• %User Temp%\ish{random numbers}\css\sdk-ui
• %User Temp%\ish{random numbers}\css\sdk-ui\images
• %User Temp%\ish{random numbers}\defaultOffer
• %User Temp%\ish{random numbers}\defaultOffer\US
• %User Temp%\ish{random numbers}\images
• %User Temp%\ish{random numbers}\locale

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Otros detalles

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos. En el momento de escribir esta información, este archivo contiene las siguientes direcciones URL:

• {BLOCKED}u.solvefile.com
• {BLOCKED}s.solvefile.com
• {BLOCKED}s.solvefile.com