ADSPY/WinAD - Adware / Spyware

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	ADSPY/WinAD
Descubierto:	31/08/2005
Tipo:	Troyano
Subtipo:	Adware
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	47,104 Bytes
Suma de control MD5:	7daf5088982008bca681a5ede35860ab
Versión del VDF:	6.31.0.46

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: Adware-WinAd.
   • Kaspersky: AdWare.WinAD.ar
   • VirusBuster: Adware.WinAd.AH

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Crea el siguiente fichero:

– %sysdir%\ide21201.vxd

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Media Access"="%PROGRAM FILES%\Media Access\MediaAccK.exe"

Elimina del registro de Windows los valores de la siguiente clave:

– [HKLM\Software\Media Access]
   • Updating
   • Request

Añade las siguientes claves al registro:

– [HKCR\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\LocalServer32]
   • @="C:\PROGRA~1\MEDIAA~1\MEDIAA~2.EXE"

– [HKLM\SOFTWARE\Media Access]
   • "track"="1"
   • "param"="%valores hex%:other::winxp:exe"
   • "LastUpdate"=dword:4315a0a0
   • "reqcount"=dword:00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   Media Access]
   • "UninstallString"="%PROGRAM FILES%\Media Access\MediaAccess.exe /Remove"
   • "DisplayName"="Media Access"

– [HKCR\MediaAccess.Installer]
   • @="Installer Class"

– [HKCR\MediaAccess.Installer\CLSID]
   • @="{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}"

– [HKCR\MediaAccess.Installer\CurVer]
   • @="MediaAccess.Installer"

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
• **********.windupdates.com/index.php

De esta forma puede enviar informaciones. Esto se realiza mediante el método HTTP POST, empleando un script PHP.

Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
• MediaAccess
• MediaAcck

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Fri, 02 Sep 2005 09:24 (GMT+1)
Descripción actualizada por Iulia Diaconescu el Mon, 19 Sep 2005 14:29 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back