Analyse von: Paul Steven Nadera   
 

JS:Adware.Lnkr.A (Bitdefender); Adware:JS/InjectorAd.A (Microsoft); JS/Adware.Revizer.B application] (NOD32)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Adware

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
    Nein

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Überwacht die Transaktionen des Benutzers auf bestimmten Websites.

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

  Technische Details

Dateigröße: 215,788 bytes
Dateityp: JS
Speicherresiden: Nein
Erste Muster erhalten am: 02 Juni 2020
Schadteil: Connects to URLs/IPs

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Datendiebstahl

Überwacht die Transaktionen des Benutzers auf folgenden Websites:

  • amazon.com
  • amazon.com.mx
  • amazon.cn
  • amazon.co.jp
  • youradexchange.com
  • websites containing boobking. , booing. , buking. , boocking. , boooking. , bookking. and booing.
  • bitconnect.co/register

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

  • During launch:
    • if http:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid=&tid=5851&rid=LAUNCHED&t={time in milliseconds}
    • if https:
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid=&tid=5851&rid=LAUNCHED&t={time in milliseconds}
  • After the script is loaded:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=LOADED&custom1={current hostname}&t={time in milliseconds}
  • Before sending request:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=BEFORE_OPTOUT_REQ&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=BEFORE_OPTOUT_REQ&t={time in milliseconds}
  • Request sending:
    • http://{BLOCKED}tcs.space/optout/get?jsonp=__twb_cb_{random number from 0 to 1000000000}&key=16dbc8c14acdb8703b&t={time in milliseconds}
  • If response is fail:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_FAIL&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_FAIL&t={time in milliseconds}
  • If response is success:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_OK&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=OPTOUT_RESPONSE_OK&t={time in milliseconds}
  • After script execution:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=FINISHED&custom1={current hostname}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=FINISHED&custom1={current hostname}&t={time in milliseconds}

Es macht Folgendes:

  • Avoids execution in the following domains that contains the following strings:
    • musvk
    • vkonline.xyz
    • vkunblock.com
    • dostup-{any combination of letters}.com
    • freevideodownloader
    • thisadsfor.us
    • olam-hamedia.tech
    • ok.ru
    • google
    • www.google
  • Avoids the following domains:
    • paypal.com
    • secure.
    • doubleclick.net
    • addthis.com
    • twitter.com
    • docs.google.com
    • drive.google.com
    and sends information to the following website(s):
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_IGNOREDOMAIN&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_IGNOREDOMAIN&t={time in milliseconds}
  • Monitors the following elements of a website:
    • If "link" is "chrome-webstore-item":
    • Send information to
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=PROMO_ANLZ&custom1={current hostname}&custom2={current URL}&custom3={chrome webstore item link URL}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=PROMO_ANLZ&custom1={current hostname}&custom2={current URL}&custom3={chrome webstore item link URL}&t={time in milliseconds}
    • If element "div.g" contains the following strings:
    • chrome.google.com/webstore
    • Speed Dial
    • New tab
    • start tab
    • start page
    • new page
    • home page
    • default page
    • fast dial
    • fast access
    • quick access
    • and if "a:not(.cws)" is found:
    • send information to
    • http://{BLOCKED}tcs.space/metric/?mid=1f608&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=1f608&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&t={time in milliseconds}
    • and Cookie "__mzglrl" is created
  • Checks if current hostname contains search engine strings:
    • google.
    • search.yahoo.
    • bing.com
    • ask.com
    • shopping.yahoo
    • search.aol.
    • wow.com
    • when.com
    • search.mywebsearch.com
    • search.myway.com
    • duckduckgo.com
    • mysearch.com
    • teoma.com
    • searchlock.com
    • myprivatesearch.com
    • searchprivacy.co
    • thesmartsearch.net
    • infospace
    • safefinder.com
    • mysearchguardian.com
  • Checks if current URL ends with the following strings:
    • jpg
    • png
    • jpeg
    • gif
    • bmp
    • doc
    • pdf
    • xls
    • js
    • xml
    • doc
    • docs
    • txt
    • css
    then sends information to the following website(s):
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_STATICFILE&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=URL_STATICFILE&t={time in milliseconds}
  • If the amazon websites are accessed:
    • if "/s/" and "/gp/search/" are found in the URL:
    • get "data-asin" of items
    • get search filters
    • send information regarding the search query to:
    • http://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=AMZN_SEARCH&custom1={current hostname}&custom2={search keywords}&custom3={data-asin of items}&custom4={result count}&custom5={dropdownbox text}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=&wid=51824&sid={1 or blank}&tid=5851&rid=AMZN_SEARCH&custom1={current hostname}&custom2={search keywords}&custom3={data-asin of items}&custom4={result count}&custom5={dropdownbox text}&t={time in milliseconds}
  • If youradexchange.com is accessed and if "a/display." string is found in the URL:
    • Redirects to http://www.{BLOCKED}exchange.com/a/display.php?r=391769&sub1=pr{parameters}
  • If websites with strings "boobking. , booing. , buking. , boocking. , boooking. , bookking. or booing." are accessed:
    • Redirects to http://{BLOCKED}s.me/get?key=6ae9f4bd1dc812dc713d61cba871d8e8&out=http%3A%2F%2Fbooking.com&ref=http%3A%2F%2Fgo.com&format=go&uid=rdr51824
  • If bitconnect.co/register is accessed:
    • Sends information to the following website(s):
    • http://{BLOCKED}tcs.space/metric/?mid=62001&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&custom1={sponsor from site}&custom2={random number from 100000 to 9999999}&t={time in milliseconds}
    • https://{BLOCKED}tcs.space/metric/?mid=62001&wid=51824&sid={1 or blank}&tid=5851&rid=BANNER_LOAD&custom1={sponsor from site}&custom2={random number from 100000 to 9999999}&t={time in milliseconds}
  • If youradexchange.com is accessed and if "a/display." string is found in the URL:
    • Redirects to http://www.{BLOCKED}exchange.com/a/display.php?r=391769&sub1=pr{parameters}

  Lösungen

Mindestversion der Scan Engine: 9.850
SSAPI Pattern-Datei: 2.298.00
SSAPI Pattern veröffentlicht am: 04 Juni 2020

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als Adware.JS.Revizer.AK entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil