PUA.Win32.InstallCore.MANHOBZR

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\{Random}.log
• %User Temp%\ish{Random}\css\ie6_main.css
• %User Temp%\ish{Random}\css\main.css
• %User Temp%\ish{Random}\css\sdk-ui\browse.css
• %User Temp%\ish{Random}\css\sdk-ui\button.css
• %User Temp%\ish{Random}\css\sdk-ui\checkbox.css
• %User Temp%\ish{Random}\css\sdk-ui\images\button-bg.png
• %User Temp%\ish{Random}\css\sdk-ui\images\progress-bg-corner.png
• %User Temp%\ish{Random}\css\sdk-ui\images\progress-bg.png
• %User Temp%\ish{Random}\css\sdk-ui\images\progress-bg2.png
• %User Temp%\ish{Random}\css\sdk-ui\progress-bar.css
• %User Temp%\ish{Random}\csshover3.htc
• %User Temp%\ish{Random}\dat\upd.DAT
• %User Temp%\ish{Random}\form.bmp.Mask
• %User Temp%\ish{Random}\images\Close.png
• %User Temp%\ish{Random}\images\Close_Hover.png
• %User Temp%\ish{Random}\images\Color_Button.png
• %User Temp%\ish{Random}\images\Color_Button_Hover.png
• %User Temp%\ish{Random}\images\Grey_Button.png
• %User Temp%\ish{Random}\images\Grey_Button_Hover.png
• %User Temp%\ish{Random}\images\Loader.gif
• %User Temp%\ish{Random}\images\Logo.png
• %User Temp%\ish{Random}\images\Progress.png
• %User Temp%\ish{Random}\images\ProgressBar.png
• %User Temp%\ish{Random}\images\text-bg.png
• %User Temp%\ish{Random}\locale\DE.locale
• %User Temp%\ish{Random}\locale\EN.locale
• %User Temp%\ish{Random}\locale\ES.locale
• %User Temp%\ish{Random}\locale\FR.locale
• %User Temp%\ish{Random}\locale\IT.locale
• %User Temp%\ish{Random}\locale\PL.locale
• %User Temp%\ish{Random}\locale\PT.locale
• %User Temp%\ish{Random}\locale\RU.locale
• %User Temp%\ish{Random}\locale\UA.locale
• %User Temp%\ish{Random}\bootstrap_{Random}.html
• %Program Files%\is{Random}.log
• %User Temp%\ICReinstall_{malware name}.exe
• %User Temp%\is{Random}\{Random}_stp.EXE
• %Desktop%\Continue File Opener Installation.lnk
• %User Temp%\is{Random}\{Random}_stp.EXE.part

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Crea las carpetas siguientes:

• %User Temp%\ish{Random}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://os.{BLOCKED}it.com/CM_DS/?v={Version of file to be installed}&c={Random generated ID}
• http://os2.{BLOCKED}it.com/Aff-AD/?v={Version of file to be installed}&c={Random generated ID}
• http://rp.{BLOCKED}it.com/?pcrc={Random generated ID}

Hace lo siguiente:

• It opens the following URL through browser:
  • http://www.{BLOCKED}it.com/file-opener/welcome