GuillermoTell
15/02/08, 19:39:53
Nombre: NAVIPROMO / EGDACCESS
Tipo: Adware que abre pop-ups
Alias: Adware.Win32.NaviPromo.aw, ADSPY/NaviPromo.K.3, Adware.Navipromo.BYD, NaviPromo.AW, Adware.Navipromo.M, Slagent, NaviHelper, Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A, Win32/Magicon.B, MagicControl.MagicComponent, Magi,Trojan.Skintrim, NaviPromo
--------------------------------------------------------------------
SINTOMAS
Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.
http://img149.imageshack.us/img149/6825/popupscopiajr8.jpg
Aparecen multiples procesos con nombres aleatorios como "xvylkilmde.exe "
Al iniciar Windows aparece un mensaje que dice: "egdaccess.dll módulo encontrado"
Su Antivirus esta permanentemente informando sobre el archivo sospechoso "msclock32.dll" o "msplock32.dll"(ejemplo win32-agente-RE [trj] Avast), y falla la eliminación, pero cuando se logra eliminarlo, este archivo reaparece después de cada arranque.
DESCRIPCIÓN TÉCNICA y METODO DE INFECCIÓN
Navipromo es un adware (http://www.forospyware.com/glossary.php?do=viewglossary&term=2) que esconde sus procesos, archivos y registros usando tecnicas de rootkit (http://www.forospyware.com/glossary.php?s=&do=searchresults&search=rootkit&searchoptions=1) para hacer mas dificil su detección y eliminación por metodos convencionales de desinfección.
El Adware Navipromo viene incluido en falsas aplicaciones o utilidades como:
MessengerSkinner
InternetGameBox
Spyware-Secure
Instant Access
HotTVPlayer
MailSkinner
GoRecord
Go-Astro
sudoku
Asi se ven los icono de estos programas:
http://img149.imageshack.us/img149/5607/iconosnavipromocopiapg7.jpg
Y asi sus respectivos instaladores:
http://img149.imageshack.us/img149/2562/marcainstaladorescopiavb6.jpg
Al ejecutar alguna de estas aplicaciones en nuestro computador, Navipromo crea un archivo ejecutable de nombre aleatorio dentro de la carpeta "%system%" el cual trabaja de forma oculta para no despertar sospechas, el Adware intenta establecer una conexión con un servidor remoto con el cual intercambia información sobre los sitiso web visitados y envia publicidad no deseada que se despliega en forma de ventanas emergentes - "pop ups" - adicionalmente crea otros archivos ocultos con las siguientes extensiones:
pahwya.exe <-----Ejecutable oculto
pahwya.dat <-----Archivo oculto
pahwya_nav.dat <-----Archivo oculto
pahwya_navps.dat <-----Archivo oculto
msclock32.dll <-----libreria dinamica oculta (se presenta en algunas variantes y puede cambiar su nombre)
NOTA:
pahwya es un nombre aleatorio que cambia de acuerdo a la variante de la infección.
%System% es una variable que se refiere a la carpeta del sistema de Windows, normalmente C:\Windows\System para Windwos 98 y ME, C:\WINNT\System32 para Windows NT y 2000 o C:\Windows\System32 para Windows XP y 2003
Navipromo adiciona entradas en el registro de Windows para que los programas que lo instalan se carguen al inicio junto al ejecutable oculto:
En Hijackthis se pueden ver entradas de la siguiente forma:
O4 - HKCU\..\Run: [pahwya] c:\windows\system32\pahwya.exe pahwya <----donde pahwya es un nombre aleatorio.
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1070.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab
Navipromo tambien agrega Certificados en el contenido de la opciones de Internet.
-Inicio > Panel de Control > Opciones de Internet
Clic en la pestaña "Contenido", después clic en la pestaña "Certificados" y alli escojes "Editores aprobados" y apareceran los siguientes editores :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
http://img149.imageshack.us/img149/5734/certificadoscopiagl5.jpg
**NOTA**
Si necesita asistencia para encontrar cual es exactamente su archivo aleatorio a eliminar puede pegar su log en el Foro Oficial de HijackThis (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)
Tipo: Adware que abre pop-ups
Alias: Adware.Win32.NaviPromo.aw, ADSPY/NaviPromo.K.3, Adware.Navipromo.BYD, NaviPromo.AW, Adware.Navipromo.M, Slagent, NaviHelper, Simcss, Magicon, TROJ_MAGICON.A, Win32/Magicon.A, Win32/Magicon.B, MagicControl.MagicComponent, Magi,Trojan.Skintrim, NaviPromo
--------------------------------------------------------------------
SINTOMAS
Ventanas emergentes de publicidad que pueden aparecer aunque Internet Explorer (u otro explorador) no esté ejecutándose.
http://img149.imageshack.us/img149/6825/popupscopiajr8.jpg
Aparecen multiples procesos con nombres aleatorios como "xvylkilmde.exe "
Al iniciar Windows aparece un mensaje que dice: "egdaccess.dll módulo encontrado"
Su Antivirus esta permanentemente informando sobre el archivo sospechoso "msclock32.dll" o "msplock32.dll"(ejemplo win32-agente-RE [trj] Avast), y falla la eliminación, pero cuando se logra eliminarlo, este archivo reaparece después de cada arranque.
DESCRIPCIÓN TÉCNICA y METODO DE INFECCIÓN
Navipromo es un adware (http://www.forospyware.com/glossary.php?do=viewglossary&term=2) que esconde sus procesos, archivos y registros usando tecnicas de rootkit (http://www.forospyware.com/glossary.php?s=&do=searchresults&search=rootkit&searchoptions=1) para hacer mas dificil su detección y eliminación por metodos convencionales de desinfección.
El Adware Navipromo viene incluido en falsas aplicaciones o utilidades como:
MessengerSkinner
InternetGameBox
Spyware-Secure
Instant Access
HotTVPlayer
MailSkinner
GoRecord
Go-Astro
sudoku
Asi se ven los icono de estos programas:
http://img149.imageshack.us/img149/5607/iconosnavipromocopiapg7.jpg
Y asi sus respectivos instaladores:
http://img149.imageshack.us/img149/2562/marcainstaladorescopiavb6.jpg
Al ejecutar alguna de estas aplicaciones en nuestro computador, Navipromo crea un archivo ejecutable de nombre aleatorio dentro de la carpeta "%system%" el cual trabaja de forma oculta para no despertar sospechas, el Adware intenta establecer una conexión con un servidor remoto con el cual intercambia información sobre los sitiso web visitados y envia publicidad no deseada que se despliega en forma de ventanas emergentes - "pop ups" - adicionalmente crea otros archivos ocultos con las siguientes extensiones:
pahwya.exe <-----Ejecutable oculto
pahwya.dat <-----Archivo oculto
pahwya_nav.dat <-----Archivo oculto
pahwya_navps.dat <-----Archivo oculto
msclock32.dll <-----libreria dinamica oculta (se presenta en algunas variantes y puede cambiar su nombre)
NOTA:
pahwya es un nombre aleatorio que cambia de acuerdo a la variante de la infección.
%System% es una variable que se refiere a la carpeta del sistema de Windows, normalmente C:\Windows\System para Windwos 98 y ME, C:\WINNT\System32 para Windows NT y 2000 o C:\Windows\System32 para Windows XP y 2003
Navipromo adiciona entradas en el registro de Windows para que los programas que lo instalan se carguen al inicio junto al ejecutable oculto:
En Hijackthis se pueden ver entradas de la siguiente forma:
O4 - HKCU\..\Run: [pahwya] c:\windows\system32\pahwya.exe pahwya <----donde pahwya es un nombre aleatorio.
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1070.dll,InstantAccess
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1064_XP.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1070_ASPIV4_XP.cab
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/EGDAccess/EGDACCESS_1063_ASPIV4_XP.cab
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/EGDAccess/EGDACCESS_1068_XP.cab
Navipromo tambien agrega Certificados en el contenido de la opciones de Internet.
-Inicio > Panel de Control > Opciones de Internet
Clic en la pestaña "Contenido", después clic en la pestaña "Certificados" y alli escojes "Editores aprobados" y apareceran los siguientes editores :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
http://img149.imageshack.us/img149/5734/certificadoscopiagl5.jpg
**NOTA**
Si necesita asistencia para encontrar cual es exactamente su archivo aleatorio a eliminar puede pegar su log en el Foro Oficial de HijackThis (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)