Author: Nikko Tamana   
 

Win32/BrowseFox.C application (NOD32)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Adware

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Puede haberlo instalado manualmente un usuario.

Se ejecuta y, a continuación, se elimina.

Este malware no tiene ninguna rutina de propagación.

Este malware no tiene ninguna rutina de puerta trasera.

Este malware no tiene ninguna capacidad para robar información.

  TECHNICAL DETAILS

File size: 203,368 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 20 de października de 2013

Detalles de entrada

Puede haberlo instalado manualmente un usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %Program Files%\Higher Aurum\HigherAurum.ico
  • %Program Files%\Higher Aurum\HigherAurumUninstall.exe
  • %Program Files%\Higher Aurum\{random string}.crx
  • %Program Files%\Higher Aurum\sqlite3.exe
  • %Program Files%\Higher Aurum\updateHigherAurum.InstallState
  • %Program Files%\Higher Aurum\updateHigherAurum.exe -also detected as ADW_BROWSEF

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Crea las carpetas siguientes:

  • %Program Files%\Higher Aurum
  • %User Temp%\Higher Aurum

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Se ejecuta y, a continuación, se elimina.

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum
ImagePath = "%Program Files%\Higher Aurum\updateHigherAurum.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Higher Aurum

HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Higher Aurum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Update Higher Aurum

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Higher Aurum
is = "bs"

HKEY_CURRENT_USER\Software\Higher Aurum
iid = "bs"

HKEY_CURRENT_USER\Software\Higher Aurum
id = "{Date and time of installation}"

HKEY_CURRENT_USER\Software\Higher Aurum\
Chrome
ug = "CEE4277F-1BF3-4A16-8F71-A79691C0D1E9"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Chrome
sgc = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Firefox
sff = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Higher Aurum\
Internet Explorer
sie = "false"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
path = "%Program Files%\Higher Aurum\{random string}.crx"

HKEY_LOCAL_MACHINE\SOFTWARE\Google\
Chrome\Extensions\{random string}
version = "1.0.0"

Propagación

Este malware no tiene ninguna rutina de propagación.

Rutina de puerta trasera

Este malware no tiene ninguna rutina de puerta trasera.

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\Higher Aurum\Setup.exe - Also detected as ADW_BROWSEF

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Robo de información

Este malware no tiene ninguna capacidad para robar información.

  SOLUTION

Minimum scan engine: 9.300
SSAPI Pattern-Datei: 1.447.00
SSAPI Pattern veröffentlicht am: 24 de października de 2013

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Quitar ADW_BROWSEF por medio de su propia opción de desinstalación

[ learnMore ]
Para desinstalar el proceso de grayware

Step 3

Buscar y eliminar esta carpeta

[ learnMore ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • %Program Files%\Higher Aurum

Step 4

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como ADW_BROWSEF En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Did this description help? Tell us how we did.