ADW_BROWADS
Win32/UnlimitedDownloads.A (ESET)
Windows
Threat Type:
Adware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega como componente integrado en paquetes de malware/grayware/spyware. Puede haberlo instalado manualmente un usuario.
Crea carpetas donde infiltra sus archivos.
Incluye un paquete de desinstalación que elimina completamente los archivos y registros infiltrados.
TECHNICAL DETAILS
Detalles de entrada
Llega como componente integrado en paquetes de malware/grayware/spyware.
Puede haberlo instalado manualmente un usuario.
Instalación
Infiltra los archivos siguientes:
- %User Temp%\_{11 random alphanumeric numbers 1}.bat
- %User Temp%\_{11 random alphanumeric numbers 2}.bat
- %User Temp%\_{11 random alphanumeric numbers 3}.bat
- %User Temp%\_{11 random alphanumeric numbers 4}.bat
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Crea carpetas donde infiltra sus archivos.
Crea las carpetas siguientes:
- %Program Files%\Common Files\DealAlly
- %Program Files%\Common Files\Diagnostics
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\diagnostics.js""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
DisplayName = "Diagnostics"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
Description = "Diagnostics service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Type = "10"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ImagePath = ""%Program Files%\Common Files\Diagnostics\node\service.exe" -s "%Program Files%\Common Files\Diagnostics\node\proxy_master.js""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
DisplayName = "Proxy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Description = "Proxy service"
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Diagnostics
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Proxy
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyServer = "127.0.0.1:5050"
HKEY_CURRENT_USER\Software\Classes\
Software\Microsoft\Windows\
CurrentVersion\Internet Settings
ProxyEnable = "1"
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
Otros detalles
Agrega las siguientes entradas de registro para añadir una opción de desinstalación al Panel de control:
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayName = "DealAlly"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
UninstallString = "%Program Files%\Common Files\DealAlly\uninst.exe"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
DisplayVersion = "1"
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Uninstall\DealAlly
Publisher = "Jet Applications"
Incluye un paquete de desinstalación que elimina completamente los archivos infiltrados y registros agregados.