ADW_Amonatize
AdWare.NSIS.InstallMonetizer.a (Kaspersky)
Windows
Threat Type:
Adware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Agrega las carpetas siguientes:
- %Application Data%\Mozilla\Firefox\Profiles\{random folder}\extensions\extension@linkeyproject.com
- %Program Files%\ASP
- %Program Files%\Assets Manager
- %Program Files%\Linkey
- %Program Files%\RCP
- %TEMP%\ns{random value}
- %TEMP%\ns{random value}.tmp
- %Application Data%\systweak
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- %All Users Profile%\Application Data\Systweak\Advanced System~Protector\AddonSafelist
- %All Users Profile%\Application Data\Systweak\Advanced System~Protector\log.xslt
- %All Users Profile%\Desktop\Advanced System~Protector.lnk
- %All Users Profile%\Desktop\RegClean Pro.lnk
- %All Users Profile%\Start Menu\Programs\Advanced System~Protector\Advanced System~Protector.lnk
- %All Users Profile%\Start Menu\Programs\Advanced System~Protector\Register Advanced System~Protector.lnk
- %All Users Profile%\Start Menu\Programs\Advanced System~Protector\Uninstall Advanced System~Protector.lnk
- %All Users Profile%\Start Menu\Programs\RegClean Pro\RegClean Pro.lnk
- %All Users Profile%\Start Menu\Programs\RegClean Pro\Register RegClean Pro.lnk
- %All Users Profile%\Start Menu\Programs\RegClean Pro\Uninstall RegClean Pro.lnk
Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
RDReminder = "%Program Files%\RCP\RegCleanPro.exe -rem"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SystweakASP = "%Program Files%\RCP\systweakasp.exe" \verysilent"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Systweak
HKEY_LOCAL_MACHINE\SOFTWARE\Systweak\
Advanced System~Protector
HKEY_LOCAL_MACHINE\SOFTWARE\Systweak\
RegClean Pro\Version 6.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Assets Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
RegClean-Pro_is1
HKEY_CURRENT_USER\Software\Linkey
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
Linkey
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\MainHKEY_LOCAL_MACHINE\SOFTWARE\
SmdmF
HKEY_CURRENT_USER\Software\LogMeInRescueCallingCard
HKEY_CURRENT_USER\Software\systweak
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Bar = "http:\www.default-search.net?sid=498&aid=156&itype=n&tm=747&src=ds&p="
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http:\www.default-search.net?sid=498&aid=156&tm=747&src=hmp"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Search
SearchAssistant = "http:\www.default-search.net?sid=498&aid=156&itype=n&tm=747&src=ds&p="
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar
Locked = "1"
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Quitar ADW_Amonatize por medio de su propia opción de desinstalación
Step 4
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como ADW_Amonatize En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.