Nome del virus:DR/MyWebSearch.AU
Scoperto:04/03/2008
Tipo:Dropper
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:5.115.904 Byte
Somma di controllo MD5:45a84b7590b49b5828d608fa06dff781
Versione IVDF:7.00.02.226 - martedì 4 marzo 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: not-a-virus:AdTool.Win32.MyWebSearch.au


Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Duplica file “maligni”
   • Modifica del registro

 File  Crea la seguente directory:
   • %PROGRAM FILES%\MyWebSearch\bar\



Vengono creati i seguenti file:

– File “non maligni”:
   • %PROGRAM FILES%\MyWebSearch\bar\1.bin\F3BKGERR.JPG; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3CJPEG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3DTACTL.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HISTSW.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HTMLMU.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HTTPCT.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3IMSTUB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3POPSWT.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3PSSAVR.SCR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3REPROX.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3RESTUB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SCHMON.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SCRCTR.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SPACER.WMV; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3WALLPP.DAT; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\FWPBUDDY.PNG; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3FFXTBR.JAR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3HIGHIN.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3HTML.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3IMPIPE.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3MEDINT.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3MSG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3NTSTBR.JAR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3OUTLCN.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SKPLAY.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SLRCH.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SRCHMN.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSOEPLG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSOESTB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSSVC.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\NPMYWEBS.DLL

%PROGRAM FILES%\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST Questo è un file di testo “non maligno” con il seguente contenuto:
   • content m3ntstbr jar:m3ntstbr.jar!/ xpcnativewrappers=yes
     overlay chrome://browser/content/browser.xul chrome://m3ntstbr/content/menu.xul

%PROGRAM FILES%\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST Questo è un file di testo “non maligno” con il seguente contenuto:
   • content m3ffxtbr jar:m3ffxtbr.jar!/ xpcnativewrappers=yes
     overlay chrome://browser/content/browser.xul chrome://m3ffxtbr/content/menu.xul

%SYSDIR%\f3PSSavr.scr Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/MyWebSearch.BQ

%PROGRAM FILES%\MyWebSearch\bar\1.bin\F3WPHOOK.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/MyWebSearch.A.50

%PROGRAM FILES%\MyWebSearch\bar\1.bin\M3PLUGIN.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/MyWebS.A.60.C

%PROGRAM FILES%\MyWebSearch\bar\1.bin\M3SKIN.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/MyWebSearc.AD

%PROGRAM FILES%\MyWebSearch\bar\1.bin\MWSBAR.DLL Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/MyWebSearc.BA

%PROGRAM FILES%\MyWebSearch\bar\1.bin\MWSOEMON.EXE Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/MyWebS.A.60.A

 Registro Vengono aggiunte le seguenti chiavi di registro:

– [HKLM\Software\MyWebSearch\bar]
   • Maximized="1"
   • Visible="1"
   • pid2=
   • pid="ZP"
   • fwp="0"
   • un="My Web Search (PopSwatter)"
   • tiec="204880"
   • Dir="%PROGRAM FILES%\MyWebSearch\bar\"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\
   ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}]
   • AppName="m3impipe.exe"
   • AppPath="%PROGRAM FILES%\MyWebSearch\bar\1.bin"
   • Policy=dword:00000003

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Thomas Wegele su martedì 11 marzo 2008
Descrizione aggiornata da Thomas Wegele su martedì 11 marzo 2008

Indietro . . . .