Nombre: NAVIPROMO / EGDACCESS
Tipo: Adware que abre pop-ups
Alias: Adware.Win32.NaviPromo.aw, ADSPY/NaviPromo.K.3, Adware.Navipromo.BYD, NaviPromo.AW, Adware.Navipromo.M, Slagent, NaviHelper, Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A, Win32/Magicon.B, MagicControl.MagicComponent, Magi,Trojan.Skintrim, NaviPromo
--------------------------------------------------------------------
SINTOMAS
- Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.
- Aparecen multiples procesos con nombres aleatorios como "xvylkilmde.exe "
- Al iniciar Windows aparece un mensaje que dice: "egdaccess.dll módulo encontrado"
- Su Antivirus esta permanentemente informando sobre el archivo sospechoso "msclock32.dll" o "msplock32.dll"(ejemplo win32-agente-RE [trj] Avast), y falla la eliminación, pero cuando se logra eliminarlo, este archivo reaparece después de cada arranque.
DESCRIPCIÓN TÉCNICA y METODO DE INFECCIÓN
Navipromo es un
adware que esconde sus procesos, archivos y registros usando tecnicas de
rootkit para hacer mas dificil su detección y eliminación por metodos convencionales de desinfección.
El Adware Navipromo viene incluido en
falsas aplicaciones o utilidades como:
- MessengerSkinner
- InternetGameBox
- Spyware-Secure
- Instant Access
- HotTVPlayer
- MailSkinner
- GoRecord
- Go-Astro
- sudoku
Asi se ven los icono de estos programas:
Y asi sus respectivos instaladores:
Al ejecutar alguna de estas aplicaciones en nuestro computador,
Navipromo crea un archivo ejecutable de nombre aleatorio dentro de la carpeta "
%system%" el cual trabaja de forma oculta para no despertar sospechas, el Adware intenta establecer una conexión con un servidor remoto con el cual intercambia información sobre los sitiso web visitados y envia publicidad no deseada que se despliega en forma de ventanas emergentes - "
pop ups" - adicionalmente crea otros archivos ocultos con las siguientes extensiones:
pahwya.exe <-----Ejecutable oculto
pahwya.dat <-----Archivo oculto
pahwya_nav.dat <-----Archivo oculto
pahwya_navps.dat <-----Archivo oculto
msclock32.dll <-----libreria dinamica oculta (se presenta en algunas variantes y puede cambiar su nombre)
Cita:
NOTA: - pahwya es un nombre aleatorio que cambia de acuerdo a la variante de la infección.
- %System% es una variable que se refiere a la carpeta del sistema de Windows, normalmente C:\Windows\System para Windwos 98 y ME, C:\WINNT\System32 para Windows NT y 2000 o C:\Windows\System32 para Windows XP y 2003
|
Navipromo adiciona entradas en el registro de Windows para que los programas que lo instalan se carguen al inicio junto al ejecutable oculto:
- En Hijackthis se pueden ver entradas de la siguiente forma:
Código HTML:
O4 - HKCU\..\Run: [pahwya] c:\windows\system32\pahwya.exe pahwya <----donde pahwya es un nombre aleatorio.
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1070.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab
Navipromo tambien agrega Certificados en el contenido de la opciones de Internet.
- -Inicio > Panel de Control > Opciones de Internet
Clic en la pestaña "Contenido", después clic en la pestaña "Certificados" y alli escojes "Editores aprobados" y apareceran los siguientes editores :
- electronic-group
- egroup
- Montorgueil
- VIP
- "Sunny Day Design Ltd"
Cita:
**NOTA**
Si necesita asistencia para encontrar cual es exactamente su archivo aleatorio a eliminar puede pegar su log en el Foro Oficial de HijackThis |