Adware.Navipromo.BYR

( Navipromo )

SINTOMAS:

Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.

DESCRIPCIÓN TÉCNICA:

Adware.Navipromo es avanzado adware difícil de detectar que se ejecuta de forma silenciosa en el ordenador infectado. Utiliza técnicas de rootkit para ocultar sus propios procesos en memoria, sus archivos y sus entradas del registro.

Este malware se instala junto con otras aplicaciones que pueden descargarse desde las siguientes páginas:

netgamebox.com
ediaplayer.com
planet.com
skinner.com
stro.com
cord.com
ngerskinner.com

La primera que se ejecuta, crea un ejecutable con un nombre aleatorio en la carpeta %system% (por defecto: C:\Windows\system32) y se ejecuta de forma sigilosa. El proceso oculto coloca una librería dll  (msclock.dll o msplock.dll) en la carpeta %system% que se inyecta en el proceso explorer.exe. El adware rastrea las URLs visitadas, las va almacenando en el disco y finalmente las envía a un servidor. Posteriormente recibe enlaces relacionados con publicidad que se mostrarán en ventanas emergentes. Durante la descarga de los ficheros por Internet, se crean otros archivos en la carpeta %system%. Estos archivos están ocultos, tienen nombres aleatorios con los siguientes sufijos:

.dat
_nav.dat
_navps.dat
_navup.dat
_navtmp.dat
_m2s.xml

Adware.Navipromo también puede crear la siguiente subclave del registro, que contiene información del adware:

HKEY_LOCAL_MACHINE\Software\mc

O añadir el siguiente valor en el registro (también oculto):

[nombre_aleatorio] = "%system%\[nombre_aleatorio].exe"

dentro de alguna de las siguientes subclaves:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Dan Anton, investigador de virus