Adware.ZAS

SINTOMAS:

Presencia de una de las siguientes ventanas emergentes (pop-ups):

“Your Antivirus protection is LOW! Click to install TrustedAntivirus. Complete protection for user pc against malicious viruses, worms and Trojan horses. Repairs infected files Package includes firewall, antispyware and anti-popup protection.” / ¡Su protección antivirus es BAJA! Haga clic aquí para instalar TrustedAntivirus. Protección completa para el PC contra virus, gusanos y troyanos. Repara lo archivos infectados. El paquete incluye cortafuego, protección antispyware y anti-popup.

“Your system has errors! Use System Error Fixer to fix it, delete unnecessary files, prevent data loss, and keep hard drive neat. Click to install” / ¡Su sistema tiene errores! Use System Error Fixer para corregirlos, eliminar archivos innecesarios, evitar pérdida de datos y mantener el disco duro limpio. Haga clic para instalar.

“Adult and forbidden materials found on your PC! Install PC Privacy Tool. This program deletes every sign of prohibited materials. It eliminates every implicating file on user PC and protects user privacy.” / ¡Se han encontrado materiales prohibidos y para adultos en su PC! Instale PC Privacy Tool. Este programa elimina cualquier rastro de materiales prohibidos. Elimina cualquier archivo involucrado del PC y protege la privacidad del usuario.

“Your protection level is LOW! Install SpyGuardPro! this utility detects and removes adware, spyware and Trojans. It also protects your system in real-time mode and prevents online intrusions” / ¡Su protección antivirus es BAJA! ¡Instale SpyGuardPro! Esta utilidad detecta y elimina adware, spyware y troyanos. También protege su sistema en tiempo real e impide intrusiones online.

“Warning! Your security level is low.Your computer might be infected. You could suffer data loss, erratic PC behavior, PC freezes and crashes!. Click to install AntiSpywareControl to scan your PC” / ¡Advertencia! Su nivel de seguridad es bajo. Su equipo podría estar infectado. ¡Podría sufrir pérdida de datos, comportamiento del PC imprevisible y cuelgues y errores del PC! Haga clic para instalar AntiSpywareControl y analizar su equipo.

“Warning! Porn material found on your PC. Your computer has tracks of all adult sites you had visited! It can violate your privacy and could compromise your career and your marriage. Click to install AdvancedCleaner to remove illegal materials.” / ¡Advertencia! Se ha encontrado material pornográfico en su PC. ¡Su equipo ha registrado todos los sitios para adultos que ha visitado! Esto podría violar su privacidad y comprometer su carrera y su matrimonio. Haga clic para instalar AdvancedCleaner y eliminar todos los materiales ilegales.

DESCRIPCIÓN TÉCNICA:

Una vez ejecutado, el programa registra una clase (“REMINDER”), se copia a sí mismo en la carpeta de arranque y modifica los siguientes valores del registro:
HKLM\software\Microsoft\Windows\Current Version\Policies\System\EnableLUA: 0
HKLM\software\Microsoft\Windows\Current Version\Policies\System\ConsentPromptBehaviorAdminn: 0
HKCU\Software\Microsoft\Windows\Current Version\Explorer\Advanced\EnableBallonTips: 1

Crea los siguientes valores:
HKCU\Software\Microsoft\Windows\current version\Run\WinHost Management: %system%\winchost.exe
HKLM\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List \%system%\winchost.exe : *Enabled:Winchost
HKLM\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\winchost.exe : *Enabled:Winchost  

A continuación, inicia dos temporizadores: uno que inicialmente se activa cada 60 segundos y otro que se activa cada 3 horas. El segundo temporizador sólo reinicia al primero a 60 segundos y muestra un mensaje con el intervalo de texto.

El período de activación del primer temporizador varía de 60 segundos a 900 segundos.Al activar el primer temporizados, el adware muestra uno de los siguientes mensajes:

“Your Antivirus protection is LOW! Click to install TrustedAntivirus. Complete protection for user pc against malicious viruses, worms and Trojan horses. Repairs infected files Package includes firewall, antispyware and anti-popup protection.” / ¡Su protección antivirus es BAJA! Haga clic aquí para instalar TrustedAntivirus. Protección completa para el PC contra virus, gusanos y troyanos. Repara lo archivos infectados. El paquete incluye cortafuego, protección antispyware y anti-popup.

“Your system has errors! Use System Error Fixer to fix it, delete unnecessary files, prevent data loss, and keep hard drive neat. Click to install” / ¡Su sistema tiene errores! Use System Error Fixer para corregirlos, eliminar archivos innecesarios, evitar pérdida de datos y mantener el disco duro limpio. Haga clic para instalar.

“Adult and forbidden materials found on your PC! Install PC Privacy Tool. This program deletes every sign of prohibited materials. It eliminates every implicating file on user PC and protects user privacy.” / ¡Se han encontrado materiales prohibidos y para adultos en su PC! Instale PC Privacy Tool. Este programa elimina cualquier rastro de materiales prohibidos. Elimina cualquier archivo involucrado del PC y protege la privacidad del usuario.

“Your protection level is LOW! Install SpyGuardPro! this utility detects and removes adware, spyware and Trojans. It also protects your system in real-time mode and prevents online intrusions” / ¡Su protección antivirus es BAJA! ¡Instale SpyGuardPro! Esta utilidad detecta y elimina adware, spyware y troyanos. También protege su sistema en tiempo real e impide intrusiones online.

“Warning! Your security level is low.Your computer might be infected. You could suffer data loss, erratic PC behavior, PC freezes and crashes!. Click to install AntiSpywareControl to scan your PC” / ¡Advertencia! Su nivel de seguridad es bajo. Su equipo podría estar infectado. ¡Podría sufrir pérdida de datos, comportamiento del PC imprevisible y cuelgues y errores del PC! Haga clic para instalar AntiSpywareControl y analizar su equipo.

“Warning! Porn material found on your PC. Your computer has tracks of all adult sites you had visited! It can violate your privacy and could compromise your career and your marriage. Click to install AdvancedCleaner to remove illegal materials.” / ¡Advertencia! Se ha encontrado material pornográfico en su PC. ¡Su equipo ha registrado todos los sitios para adultos que ha visitado! Esto podría violar su privacidad y comprometer su carrera y su matrimonio. Haga clic para instalar AdvancedCleaner y eliminar todos los materiales ilegales.

También intenta cerrar y abrir la unidad de CD-Rom y descarga un virus de alta propagación (Trojan.Zlob). Cuando el usuario hace clic en el mensaje, el adware descarga e instala un programa fraudulento entre los siguientes enlaces:

http://go[oculto].com/MTg4Nzk=/2/5536/baloon/

http://clean. [oculto]/MTg2NTk=/2/5536/baloon/

http://privacy.pcpr[oculto]/MTg1NDM=/2/5536/baloon/

http://protect.spy[oculto]/MTk5MTk=/2/5536/baloon/

http://protect.antispywa[oculto]/MzI0NA==/2/412/ed=1/ex=1/baloon/

http://protect.advance[oculto]m/MjYyNg==/2/412/ed=1/ex=1/baloon/

http://go[oculto]/MTk4Njg=/2/5536/ax=1/ed=1/ex=1/baloonexit/

http://clean.systemer[oculto]/MTgyMDY=/2/5536/ed=1/ex=1/h=10/baloonexit/

http://privacy.pcpri[oculto]/MTgwMDg=/2/5536/ed=1/ex=1/h=10/baloonexit/

http://protect.spy[oculto]/MTg1NDI=/2/5536/ax=1/ed=1/ex=1/baloonexit/

http://protect.anti[oculto]/MjM3MQ==/2/412/ed=1/ex=1/baloonexit/

http://protect.advanced[oculto]/MjM2OQ==/2/412/ed=1/ex=1/baloonexit/

http://red[oculto]/download/redcodec4230.exe

http://89.188. [oculto]/dwn.php?file=wmvcodec2.03&type=e&aid=200412&v=v7&e=1

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Mihai Razvan Benchea, investigador de virus