¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:ADWARE/InstallMat.D
Descubierto:06/11/2012
Tipo:Adware
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Bajo
Fichero esttico:S
Tamao:~ 280 000 Bytes
Versin del VDF:7.11.49.22 - martes 6 de noviembre de 2012
Versin del IVDF:7.11.49.22 - martes 6 de noviembre de 2012

 General ADWARE/ - Adware

Este tipo de deteccio?n sen?ala el software que muestra anuncios, normalmente en el navegador de Internet modificando las pa?ginas existentes o abriendo pa?ginas adicionales con publicidad. Son los propios usuarios los que suelen instalar estos programas de adware, que tambie?n pueden venir con otro software que instalan los usuarios (normalmente a cambio de usar el software gratis o como una opcio?n de instalacio?n predeterminada).

Los usuarios podri?an no ser conscientes de que este software se ha instalado o desconocer su comportamiento. Esta deteccio?n tiene como objetivo marcar el archivo y el comportamiento como parte de un software legi?timo de visualizacio?n de publicidad.

Esta deteccio?n puede desactivarse, y es aconsejable que asi? se haga, si el usuario conoce el software que esta? instalado en su sistema y no quiere que se detecte este tipo de software.
Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Symantec: Downloader
   •  Mcafee: Generic PUP.x!bxk
     Avast: Skodna.Generic.AFC
     PCTools: Downloader.Generic
   •  Eset: Win32/InstallMate
     DrWeb: Adware.Downware.448
     Norman: W32/Suspicious_Gen4.BGZMA


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Crea los siguientes ficheros:

Ficheros no maliciosos:
   • C:\Documents and Settings\Administrator\Local Settings\Temp\Tsu%serie de
      caracteres aleatorios de ocho dgitos%
.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%serie de caracteres
      aleatorios de ocho dgitos%
.dat; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%serie de caracteres
      aleatorios de ocho dgitos%
\_Setup.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%serie de caracteres
      aleatorios de ocho dgitos%
\Setup.ico; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%serie de caracteres
      aleatorios de ocho dgitos%
\_Setupx.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%serie de caracteres
      aleatorios de ocho dgitos%
\Setup.exe; %ALLUSERSPROFILE%\TSR8.tmp;
      %ALLUSERSPROFILE%\Application Data\TSR9.tmp; %ALLUSERSPROFILE%\Application
      Data\TSRA.tmp; %ALLUSERSPROFILE%\Application Data\TSRB.tmp;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setup.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.ico;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setupx.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.exe;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\TsuDll.dll;
      C:\Documents and Settings\Administrator\Local Settings\Temp\%serie de
      caracteres aleatorios de ocho dgitos%
\x86\regsvr32.exe; C:\Documents
      and Settings\Administrator\Local Settings\Temp\%serie de caracteres
      aleatorios de ocho dgitos%
\x64\regsvr32.exe;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.dat;
      C:\Documents and Settings\Administrator\Local Settings\Temp\sample.log




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %ALLUSERSPROFILE%\Application Data\Premium\Agent\Agent.exe

 Registro Aade la siguiente clave al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {F46AD279-DAAF-44D1-9E83-6D44907CAA50}]
   • "UninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q0"
   • "QuietUninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q"
   • "ModifyPath"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /q0"
   • "Version"=dword:01000000
   • "VersionMajor"=dword:00000001
   • "VersionMinor"=dword:00000000
   • "EstimatedSize"=dword:000000e4
   • "Language"=dword:00000409
   • "TSAware"=dword:00000001
   • "TinFolder"="C:\Documents and Settings\\All Users\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}"
   • "TinVersion"="7022"
   • "InstallDate"="20121204"
   • "InstallLocation"=" %ALLUSERSPROFILE%\\Application Data\\Premium\\Agent"
   • "InstallSource"="C:\%directorio donde se ejecuta el programa viral%"
   • "DisplayIcon"=" %ALLUSERSPROFILE%\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\\Setup.ico"
   • "DisplayName"="Agent"
   • "DisplayVersion"="1.0"
   • "Publisher"="Premium"
   • "TizPath"="C:\%directorio donde se ejecuta el programa viral% \\%archivo de malware%"
   • "CategoryName"="Bflix"

Descripción insertada por Elias Lan el jueves 6 de diciembre de 2012
Descripción actualizada por Elias Lan el jueves 6 de diciembre de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.