Adware.Navipromo.BYT

( Navipromo )

SINTOMAS:

Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.

DESCRIPCIÓN TÉCNICA:

Adware.Navipromo es avanzado adware muy difícil de detectar que se ejecuta de forma silenciosa en el ordenador infectado. Utiliza técnicas de rootkit para ocultar sus propios procesos en memoria, sus archivos y sus entradas en el registro.

Este malware se instala junto con otras aplicaciones que pueden descargarse desde las siguientes páginas:

netgamebox.com
ediaplayer.com
planet.com
skinner.com
stro.com
cord.com
ngerskinner.com

La primera vez que se ejecuta, crea un archivo ejecutable con un nombre aleatorio en la carpeta %system% (por defecto: C:\Windows\system32) y se ejecuta de forma silenciosa. El proceso oculto coloca una librería dll (msclock.dll o msplock.dll) en la carpeta %system% , que a su vez se inyecta en el proceso explorer.exe. El adware rastrea las URLs visitadas, las va almacenando en el disco y finalmente las envía a un servidor. Posteriormente, recibe enlaces relacionados con publicidad que se mostrarán en ventanas emergentes. Durante la descarga de los ficheros por Internet, se crean otros archivos en la carpeta %system%. Estos archivos están ocultos, tienen nombres aleatorios con los siguientes sufijos:

.dat
_nav.dat
_navps.dat
_navup.dat
_navtmp.dat
_m2s.xml

Adware.Navipromo también puede crear la siguiente subclave del registro, que contiene información del adware:

HKEY_LOCAL_MACHINE\Software\mc

O añadir el siguiente valor en el registro (también oculto):

[nombre_aleatorio] = "%system%\[nombre_aleatorio].exe"

dentro de alguna de las siguientes subclaves:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Dan Anton, investigador de virus