PUA.Win32.InstallCore.MANHOBWZ

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Se conecta a determinados sitios Web para enviar y recibir información. Redirige los navegadores a determinados sitios.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %User Temp%\is{random string}\css\ie6_main.css
• %User Temp%\is{random string}\css\main.css
• %User Temp%\is{random string}\css\sdk-ui\browse.css
• %User Temp%\is{random string}\css\sdk-ui\button.css
• %User Temp%\is{random string}\css\sdk-ui\checkbox.css
• %User Temp%\is{random string}\css\sdk-ui\images\button-bg.png
• %User Temp%\is{random string}\css\sdk-ui\images\progress-bg-corner.png
• %User Temp%\is{random string}\css\sdk-ui\images\progress-bg.png
• %User Temp%\is{random string}\css\sdk-ui\images\progress-bg2.png
• %User Temp%\is{random string}\css\sdk-ui\progress-bar.css
• %User Temp%\is{random string}\csshover3.htc
• %User Temp%\is{random string}\dat\upd.DAT
• %User Temp%\is{random string}\form.bmp.Mask
• %User Temp%\is{random string}\images\BG.png
• %User Temp%\is{random string}\images\Close.png
• %User Temp%\is{random string}\images\Close_Hover.png
• %User Temp%\is{random string}\images\Color_Button.png
• %User Temp%\is{random string}\images\Color_Button_Hover.png
• %User Temp%\is{random string}\images\Grey_Button.png
• %User Temp%\is{random string}\images\Grey_Button_Hover.png
• %User Temp%\is{random string}\images\Loader.gif
• %User Temp%\is{random string}\images\Logo.png
• %User Temp%\is{random string}\images\Progress.png
• %User Temp%\is{random string}\images\ProgressBar.png
• %User Temp%\is{random string}\images\text-bg.png
• %User Temp%\is{random string}\locale\{Language Code}.locale
• %User Temp%\is{random string}\skin.7z
• %User Temp%\ICReinstall_{malware filename}.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp y en el case de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Local\Temp).

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Enable = 1

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Size = 10

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
InitHits = 100

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU
Factor = 20

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://s3.{BLOCKED}aws.com/Tweaks/distros/FileOpenerSetupG.exe

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Otros detalles

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\International\CpMRU

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://os.{BLOCKED}-softwaredownloads.com/CM/?v={Version}&c={random number}
• http://os2.{BLOCKED}-softwaredownloads.com/Aff-AD/?v={Version}&c={random number}
• http://rp.{BLOCKED}-softwaredownloads.com/?pcrc={random number}
• http://d.{BLOCKED}d.com/widget/render/hash/{hash}

Redirige los navegadores a los siguientes sitios:

• http://www.{BLOCKED}ile-opener.com/recommended-products.html?&chnl=file-opener&iv=0

Hace lo siguiente:

• It displays the following progress window during installation: