Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:ADWARE/InstallMat.D
Scoperto:06/11/2012
Tipo:Adware
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Basso
File statico:Si
Dimensione del file:~ 280 000 Byte
Versione VDF:7.11.49.22 - martedì 6 novembre 2012
Versione IVDF:7.11.49.22 - martedì 6 novembre 2012

 Generale ADWARE/ - Adware

Questa classe di rilevamento segnala i software che fanno comparire pubblicità, di solito nel browser Internet, modificando le pagine visualizzate o aprendo pagine pubblicitarie aggiuntive. Solitamente tali programmi di adware sono installati direttamente dagli utenti o provengono da altro software installato dagli utenti stessi (in genere in cambio dell’utilizzo gratuito del software oppure come opzione predefinita di installazione).

Gli utenti potrebbero ignorare l’avvenuta installazione di questo software o ignorarne il comportamento. Il rilevamento segnala il file e il suo comportamento come parte di software legittimo di visualizzazione di pubblicità.

La disabilitazione di questo rilevamento è possibile ed è raccomandata all'utente consapevole del software installato sul proprio sistema e che non desidera che questo tipo di software venga rilevato.
Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Downloader
   •  Mcafee: Generic PUP.x!bxk
   •  Avast: Skodna.Generic.AFC
   •  PCTools: Downloader.Generic
   •  Eset: Win32/InstallMate
   •  DrWeb: Adware.Downware.448
   •  Norman: W32/Suspicious_Gen4.BGZMA


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effetti secondari:
   • Duplica file
   • Modifica del registro

 File Vengono creati i seguenti file:

– File “non maligni”:
   • C:\Documents and Settings\Administrator\Local Settings\Temp\Tsu%stringa
      casuale di otto caratteri%
.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%stringa casuale di otto
      caratteri%
.dat; C:\Documents and Settings\Administrator\Local
      Settings\Temp\%stringa casuale di otto caratteri%\_Setup.dll;
      C:\Documents and Settings\Administrator\Local Settings\Temp\%stringa
      casuale di otto caratteri%
\Setup.ico; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%stringa casuale di otto
      caratteri%
\_Setupx.dll; C:\Documents and Settings\Administrator\Local
      Settings\Temp\%stringa casuale di otto caratteri%\Setup.exe;
      %ALLUSERSPROFILE%\TSR8.tmp; %ALLUSERSPROFILE%\Application Data\TSR9.tmp;
      %ALLUSERSPROFILE%\Application Data\TSRA.tmp; %ALLUSERSPROFILE%\Application
      Data\TSRB.tmp; %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setup.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.ico;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setupx.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.exe;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\TsuDll.dll;
      C:\Documents and Settings\Administrator\Local Settings\Temp\%stringa
      casuale di otto caratteri%
\x86\regsvr32.exe; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%stringa casuale di otto
      caratteri%
\x64\regsvr32.exe; %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.dat;
      C:\Documents and Settings\Administrator\Local Settings\Temp\sample.log




Prova ad eseguire il seguente file:

– Nome del file:
   • %ALLUSERSPROFILE%\Application Data\Premium\Agent\Agent.exe

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {F46AD279-DAAF-44D1-9E83-6D44907CAA50}]
   • "UninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q0"
   • "QuietUninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q"
   • "ModifyPath"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /q0"
   • "Version"=dword:01000000
   • "VersionMajor"=dword:00000001
   • "VersionMinor"=dword:00000000
   • "EstimatedSize"=dword:000000e4
   • "Language"=dword:00000409
   • "TSAware"=dword:00000001
   • "TinFolder"="C:\Documents and Settings\\All Users\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}"
   • "TinVersion"="7022"
   • "InstallDate"="20121204"
   • "InstallLocation"=" %ALLUSERSPROFILE%\\Application Data\\Premium\\Agent"
   • "InstallSource"="C:\%directory di esecuzione del malware%"
   • "DisplayIcon"=" %ALLUSERSPROFILE%\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\\Setup.ico"
   • "DisplayName"="Agent"
   • "DisplayVersion"="1.0"
   • "Publisher"="Premium"
   • "TizPath"="C:\%directory di esecuzione del malware% \\%file malware%"
   • "CategoryName"="Bflix"

Descrizione inserita da Elias Lan su giovedì 6 dicembre 2012
Descrizione aggiornata da Elias Lan su giovedì 6 dicembre 2012

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.