| Nombre común: Searchmeup
Nombre técnico: Adware/CWS.Searchmeup
Peligrosidad: Baja
Tipo: Spyware
SubTipo: Adware
Plataformas que infecta: Windows
2003/XP/2000/NT/ME/98/95/3.X
Fecha de detección: 11/01/2005
Detección actualizada: 21/10/2007
Estadísticas Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Searchmeup es un malware de tipo adware que cambia la página de inicio del navegador Internet Explorer y sus opciones de búsqueda por defecto.
La página web colocada como página de inicio utiliza diversos exploits, como LoadImage, ByteVerify y MhtRedir.gen, para descargar malware al ordenador: Tofger.AT, que es un troyano de tipo ladrón de contraseñas; Dialer.BB y Dialer.NO, que son dialers; TopConvert, que es otro adware, etc.
Efectos
Searchmeup realiza las siguientes acciones:
• Cambia la página de inicio del navegador Internet Explorer y sus opciones de búsqueda por defecto. La página de inicio resultante tiene el siguiente aspecto:
• Dicha página web utiliza varios exploits, como LoadImage, ByteVerify y MhtRedir.gen, con el objetivo de descargar malware al ordenador: Tofger.AT, el cual es un troyano de tipo ladrón de contraseñas; Dialer.BB and Dialer.NO, los cuales son dialers; TopConvert, el cual es un adware, etc.
Notas:
• Una vez que el ordenador es afectado por Searchmeup, podrían mostrarse pantallazos azules siempre que el equipo se inicia, de forma que Windows no funcione correctamente. En este caso, sería necesario restaurar la última configuración válida.
• Por otro lado, en ocasiones se produce un error en el archivo SERVICES.EXE, y entonces el ordenador se reinicia en un minuto. Sin embargo, en este caso, el sistema recobra su funcionamiento normal.
Metodo de Infección
Searchmeup crea los siguientes archivos:
• TOOLBAR.EXE, MSTASKS1.EXE, MSTASKS2.EXE y MSTASKS3.EXE en el directorio de Windows.
• PAYDIAL.EXE y SYSTIME.EXE en el directorio de sistema de Windows.
• NEW.EXE en el directorio raíz de la unidad C:.
Searchmeup crea las siguientes entradas en el Registro de Windows:
• HKEY_LOCAL_MACHINE\ software\ microsoft\ windows\ currentversion\ run
Systime = %sysdir%\ systime.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
sysTime = %sysdir%\ systime.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Searchmeup consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Default_Page_URL = http:// 213.159.117.134/ index.php
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Default_Page_URL = http:// 213.159.117.134/ index.php
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http:// 213.159.117.134/ index.php
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Local Page = http:// 213.159.117.134/ index.php
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Local Page = http:// 213.159.117.134/ index.php
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = http:// 213.159.117.134/ index.php
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http:// 213.159.117.134/ index.php
Mediante estas entradas, Searchmeup cambia la página de inicio de Internet Explorer y sus opcioines de búsqueda por defecto.
Método de Propagación
Searchmeup es descargado al ordenador cuando el usuario accede a determinadas páginas web que contienen referencias a la página maliciosa que se pone como página de inicio de Internet Explorer.
Para conseguirlo, se usan varios exploits: LoadImage, ByteVerify y MhtRedir.gen.
Otros Detalles
Searchmeup está escrito en el lenguaje de programación C, con el compilador LCC win32. Este adware tiene un tamaño de 41622 Bytes.
|
|
