Adware.Mywebsearch.AV
( Adware.MWS )
|
Propagación
:
|
medio
|
|
|
Daño
:
|
bajo
|
|
Tamaño:
|
aprox. 2.5 Mb
|
|
Detectado
:
|
2008 Feb 06
|
SINTOMAS:
Presencia de una barra de herramientas en Internet Explorer con nombre MyWebSearch.
Presencia de un proceso con el nombre "mwsoemon.exe" en el Administrador de Tareas, lista de "Procesos".
DESCRIPCIÓN TÉCNICA:
La barra de herramientas es una utilidad para realizar búsquedas en la web. Utiliza otros conocidos motores de búsqueda redirigidos a su propia página, http:\\www.mywebsearch.com. Almacena información sobre las palabras buscadas. Cuando este adware está instalado, realiza las siguientes acciones:
a) Crea uno o más de los siguientes archivos y carpetas:
%programfiles% \ MyWebSearch (contiene más archivos)
%system32%\f3PSSavr.scr
%programfiles% \ MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
%programfiles% \ MyWebSearch\bar\1.bin\MWSBAR.DLL
b) Añade una barra de herramientas llamada "MyWebSearch" en Internet Explorer
c) Crea las siguientes claves del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.DataControl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.DataControl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistoryKillerScheduler.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistoryKillerScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistorySwatterControlBar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HistorySwatterControlBar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HTMLMenu.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HTMLMenu.2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.HTMLMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.IECookiesManager.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.IECookiesManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.KillerObjManager.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.KillerObjManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterBarButton.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterBarButton
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterSettingsControl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.PopSwatterSettingsControl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.ShellViewControl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FunWebProducts.ShellViewControl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.HTMLPanel.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.HTMLPanel
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.OutlookAddin.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.OutlookAddin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.PseudoTransparentPlugin.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MyWebSearch.PseudoTransparentPlugin
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch bar Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyWebSearchService
d) Ejecuta el siguiente archivo:
%programfiles% \ MyWebSearch\bar\1.bin\mwsoemon.exe
e) Añade el siguiente valor a la clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[MyWebSearch Email Plugin = "%programfiles%"\MYWEBS~1\bar\1.bin\mwsoemon.exe"]
De este modo "mwsoemon.exe" se ejecutará cuando inicie Windows.
INSTRUCCIONES DE LIMPIEZA:
Analice sus archivos con BitDefender para desinfectarlos.
ANALIZADO POR:
Daniel Chipiristeanu, investigador de virus
