PUA_ANYPROT
Win32/AnyProtect.G potentially unwanted (ESET-NOD32), PUP.Optional.AnyProtect (Malwarebytes), PUP/AnyProtect (Panda), PUA.Win32.AnyProtect.80 (Baidu-International)
Windows
Threat Type:
Potentially Unwanted Application
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Agrega las carpetas siguientes:
- %User Temp%\ns{random 2}.tmp
- %Program Files%\AnyProtectEx
- %Application Data%\AnyProtectEx
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %AppDataLocal%\{grayware filename}
Infiltra los archivos siguientes:
- %User Temp%\ns{random}.tmp\System.dll
- %User Temp%\ns{random}.tmp\WmiInspector.dll
- %User Temp%\ns{random}.tmp\inetc.dll
- %User Temp%\ns{random}.tmp\UserInfo.dll
- %User Temp%\ns{random}.tmp\flush-inetc.dll
- %User Temp%\ns{random}.tmp\ProcessKiller.dll
- %User Temp%\ns{random}.tmp\modern-header.bmp
- %User Temp%\ns{random}.tmp\Aero.dll
- %User Temp%\ns{random}.tmp\aps_welcome.bmp
- %User Temp%\ns{random}.tmp\nsDialogs.dll
- %User Temp%\ns{random}.tmp\aps_install.bmp
- %User Temp%\ns{random}.tmp\nsis-progressbar.dll
- %Program Files%\AnyProtectEx\product.guid
- %Program Files%\AnyProtectEx\AnyProtect.exe
- %Application Data%\AnyProtectEx\installer\tempfile.t
- %Application Data%\AnyProtectEx\installer\ab.test.json
- %Application Data%\AnyProtectEx\swf\mov01.swf
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\AnyProtect
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\AnyProtect
ABTestDesc = "B6"
HKEY_CURRENT_USER\Software\AnyProtect
MovieN = "1"