Descripción completa

Nombre:	Adware/InstallBrain.646
Descubierto:	03/09/2012
Tipo:	Adware/Spyware
En circulación (ITW):	No
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Bajo
Potencial dañino:	Bajo
Tamaño:	680.000 Bytes
Suma de control MD5:	df50e954d52e1b0A80d144890504f1c6
Versión del VDF:	7.11.41.170 - lunes, 3 de septiembre de 2012
Versión del IVDF:	7.11.41.170 - lunes, 3 de septiembre de 2012

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Eset: a variant of Win32/InstallBrain.E application

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Efectos secundarios:
   • Modificaciones en el registro

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMP%Install PC Performer43349.exe
   • %ALLUSERSPROFILE%\Application Data\IBUpdaterService\ibsvc.exe

Renombra los siguientes ficheros:

    • %TEMP%\ibtmp1404376\component_383.part en %TEMP%\ibtmp1404376\component_383
    • %TEMP%\ibtmp1404376\component_358.part en %TEMP%\ibtmp1404376\component_358

Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %SYSDIR%\wbem\Logs\wbemprox.log; %ALLUSERSPROFILE%\Application
      Data\IBUpdaterService\repository.xml;
      %WINDIR%\Prefetch\IPCONFIG.EXE-2395F30B.pf;
      %WINDIR%\Prefetch\FM.SCR-3175FC38.pf; %WINDIR%\Prefetch\RM.SCR-1F32C8B2.pf;
      %WINDIR%\Prefetch\PE.EXE-229E0722.pf; %WINDIR%\Prefetch\TV.SCR-16E1F612.pf;
      %WINDIR%\Prefetch\HOOKANALYZER.EXE-0541B1DE.pf;
      %WINDIR%\Prefetch\MEMDUMP.EXE-36CE8D46.pf; %TEMP%\734.bat;
      %WINDIR%\Prefetch\CMD.EXE-087B4001.pf

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMP%\3.tmp
   • %HOME%\Desktop\Continue Install PC Performer installation.lnk
   • %TEMP%\4.tmp
   • %TEMP%\ibtmp1404376\config\1556.html
   • %TEMP%\ibtmp1404376\config\1558.html
   • %TEMP%\ibtmp1404376\config\1559.html
   • %TEMP%\ibtmp1404376\config\1966.html
   • %TEMP%\ibtmp1404376\config\1967.html
   • %TEMP%\ibtmp1404376\config\2055.html
   • %TEMP%\ibtmp1404376\config\2202.html
   • %TEMP%\ibtmp1404376\config\ib\main.css
   • %TEMP%\ibtmp1404376\config\js\config.js
   • %TEMP%\ibtmp1404376\config\events\events.js
   • %TEMP%\ibtmp1404376\config\js\jquery-1.7.min.js
   • %TEMP%\ibtmp1404376\config\js\jquery.noselect.min.js
   • %TEMP%\ibtmp1404376\config\js\smart.js
   • %TEMP%\ibtmp1404376\intallLog
   • %TEMP%\ibtmp1404376\component_383.decrpt
   • %TEMP%\ibtmp1404376\component_358.decrpt
   • %TEMP%\upd5.tmp
   • %WINDIR%\Temp\6.tmp
   • %TEMP%\ibtmp1404376\component_358
   • %TEMP%\ibtmp1404376\component_383
   • %TEMP%\ibtmp1404376\config\js
   • %TEMP%\ibtmp1404376\config\ib
   • %TEMP%\ibtmp1404376\config\events
   • %TEMP%\ibtmp1404376\config
   • %TEMP%\ibtmp1404376

Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Rpc]
   • "UuidSequenceNumber"=dword:017f6d21

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCHEDULE\0000\Control]
   • "ActiveService"="Schedule"

Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows Script\Settings]
   • "JITDebug"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Services\IBUpdaterService]
   • "Type"=dword:00000020
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="\"C:\Documents and Settings\\All Users\\Application Data\\IBUpdaterService\\ibsvc.exe\" /SERVICE"
   • "DisplayName"="Updater Service"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,\00,01,00,00,00,30,75,00,00
   • "Description"="Updater Service"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   Updater Service]
   • "NoModify"=dword:00000001
   • "NoRepair"=dword:00000001
   • "DisplayName"="Updater Service"
   • "UninstallString"="\"C:\Documents and Settings\\All Users\\Application Data\\IBUpdaterService\\ibsvc.exe\" /UNINSTALL"
   • "DisplayVersion"="14,12,8,9"
   • "VersionMajor"=dword:0000000e
   • "VersionMinor"=dword:0000000c
   • "InstallLocation"="C:\Documents and Settings\\All Users\\Application Data\\IBUpdaterService"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IBUPDATERSERVICE]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IBUPDATERSERVICE\0000]
   • "Service"="IBUpdaterService"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Updater Service"

– [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IBUPDATERSERVICE\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="IBUpdaterService"

– [HKLM\SYSTEM\ControlSet001\Services\IBUpdaterService\Enum]
   • "0"="Root\\LEGACY_IBUPDATERSERVICE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SOFTWARE\PerformerSoft\PC Performer]
   • "RCPURL"="http://performersoft.com/pcperformer/buy/pcp-buy-redirect.php?cid=290&clickid=0009814971143989483&tid=/pcperformer/rh/rh/st2/trial/pcperformer-rh-rh-st2-trial-jp.php"
   • "RENEWALURL"="http://performersoft.com/pcperformer/buy/pcp-buy-redirect.php?renew=1&cid=290&clickid=0009814971143989483&tid=/pcperformer/rh/rh/st2/trial/pcperformer-rh-rh-st2-trial-jp.php"
   • "INSTALL_URL"="http://performersoft.com/pcperformer/welcome/index.php?cid=290&clickid=0009814971143989483&tid=/pcperformer/rh/rh/st2/trial/pcperformer-rh-rh-st2-trial-jp.php&uniqueid=f90d803d7bb246b8a890d6d8b6800dd5_134099023964"
   • "UNINSTALL_URL"="http://performersoft.com/pcperformer/afteruninstall.php?cid=290&clickid=0009814971143989483"

– [HKEY_USERS\.DEFAULT\Software\IBUpdaterService]
   • "selfupdate"=hex:3a,e3,ed,4f,00,00,00,00

– [HKLM\SECURITY\Policy\Secrets\SAI]
   • @=hex:10,fd,a7,23,1b,56,cd,01

– [HKLM\SECURITY\Policy\Secrets\SAC]
   • @=hex:2c,4b,b6,23,1b,56,cd,01

Informaciones diversas Accede a recursos de Internet:
   • d2qsma9t6l5kt7.cloud**********.net;
      settings.price**********.com; xml.price**********.com;
      www.performer**********.com; cdn.optimi**********.com;
      log3.optimi**********.com; 10.xg4**********.com;
      swif**********.com; clk**********.com;
      dev.visualwebsite**********.com

Descripción insertada por Wensin Lee el miércoles, 5 de septiembre de 2012
Descripción actualizada por Wensin Lee el miércoles, 5 de septiembre de 2012

Volver . . . .

¿Necesita arreglar su PC?

Productos destacados

Más productos

Más populares

Todos los productos

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas

Productos destacados

Más productos

Más populares

Todos los productos

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas