Full description

Vírus	DR/MyWebSearch.AU
Data em que surgiu:	04/03/2008
Tipo:	Dropper
Incluído na lista "In The Wild"	Não
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Baixo
Ficheiro estático:	Sim
Tamanho:	5.115.904 Bytes
MD5 checksum:	45a84b7590b49b5828d608fa06dff781
Versão IVDF:	7.00.02.226 - terça-feira, 4 de março de 2008

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: not-a-virus:AdTool.Win32.MyWebSearch.au

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Ficheiros Cria a seguinte pasta:
   • %PROGRAM FILES%\MyWebSearch\bar\

São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %PROGRAM FILES%\MyWebSearch\bar\1.bin\F3BKGERR.JPG; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3CJPEG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3DTACTL.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HISTSW.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HTMLMU.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HTTPCT.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3IMSTUB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3POPSWT.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3PSSAVR.SCR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3REPROX.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3RESTUB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SCHMON.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SCRCTR.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SPACER.WMV; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3WALLPP.DAT; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\FWPBUDDY.PNG; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3FFXTBR.JAR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3HIGHIN.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3HTML.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3IMPIPE.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3MEDINT.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3MSG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3NTSTBR.JAR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3OUTLCN.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SKPLAY.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SLRCH.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SRCHMN.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSOEPLG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSOESTB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSSVC.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\NPMYWEBS.DLL

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • content m3ntstbr jar:m3ntstbr.jar!/ xpcnativewrappers=yes
     overlay chrome://browser/content/browser.xul chrome://m3ntstbr/content/menu.xul

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • content m3ffxtbr jar:m3ffxtbr.jar!/ xpcnativewrappers=yes
     overlay chrome://browser/content/browser.xul chrome://m3ffxtbr/content/menu.xul

– %SYSDIR%\f3PSSavr.scr Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/MyWebSearch.BQ

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\F3WPHOOK.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/MyWebSearch.A.50

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3PLUGIN.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/MyWebS.A.60.C

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3SKIN.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/MyWebSearc.AD

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\MWSBAR.DLL Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/MyWebSearc.BA

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\MWSOEMON.EXE Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/MyWebS.A.60.A

Registry (Registo do Windows) São adicionadas as seguintes chaves ao registo:

– [HKLM\Software\MyWebSearch\bar]
   • Maximized="1"
   • Visible="1"
   • pid2=
   • pid="ZP"
   • fwp="0"
   • un="My Web Search (PopSwatter)"
   • tiec="204880"
   • Dir="%PROGRAM FILES%\MyWebSearch\bar\"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\
   ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}]
   • AppName="m3impipe.exe"
   • AppPath="%PROGRAM FILES%\MyWebSearch\bar\1.bin"
   • Policy=dword:00000003

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Descrição enviada por Thomas Wegele em terça-feira, 11 de março de 2008
Descrição atualizada por Thomas Wegele em terça-feira, 11 de março de 2008

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas