Adware.GAIN

Página de impresión

Actualizado: 13 de Febrero de 2007 11:32:38 AM

Tipo: Adware

Creador: GAIN Publishing

Impacto del riesgo: Bajo

Nombres de archivos: Fsg_[VERSION NUMBER].exe Trickler_[VERSION NUMBER].exe CMESys.eGMT.exe GainPlugin.dll HDPlugin

Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Cuando Adware.GAIN está instalado, realiza las siguientes acciones:

Pone un archivo en la carpeta de sistema %System%. El nombre del archivo es diferente dependiendo de que programa instala el Adware.GAIN. Algunos archivos conocidos son:

Fsg_[VERSION NUMBER].exe
Trickler.exe.

Nota: %System% es una variable. El componente del adware busca la carpeta System y se copia a sí mismo en esa carpeta. De forma predeterminada esta carpeta se encuentra en C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) o en C:\Windows\System32 (Windows XP).
Crea los siguientes archivos:
- %ProgramFiles%\Common Files\CMEII\*.*
- %ProgramFiles%\Common Files\GMT\*.*
- %Windir%\Temp\Trickler_[VERSION NUMBER].exe
- %Windir%\Temp\fsg[VERSION NUMBER].exe
- %Windir%\Downloaded Program Files\GainPlugin.dll
- %UserProfile%\Start Menu\Programs\Startup\GStartup.lnk
- C:\Documents and Settings\All Users\Start Menu\Programs\GAIN Publishing\About GAIN Publishing.lnk
- C:\Documents and Settings\All Users\Start Menu\Programs\GAIN Publishing\GAIN Publishing Web Site.URL
  
  Notas:
- %ProgramFiles% es una variable que hace referencia a la carpeta de los archivos del programa. Predefinidamente esta es C:\Program Files.
- %Windir% es una variable que hace referencia a la carpeta de instalación de Windows. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).
- %UserProfile% is a variable that refers to the current user's profile folder. Predefinidamente esta es C:\Documents and Settings\[Current User] (Windows NT/2000/XP).
Crea las siguientes sub-claves de registro:

HKEY_CLASSES_ROOT\CLSID\{54e7e082-1da6-412e-96b5-c290fcef5329} HKEY_CLASSES_ROOT\CLSID\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0} HKEY_CLASSES_ROOT\Interface\{22D34833-06F9-4CE6-9FF7-CE4DA0BA351D} HKEY_CLASSES_ROOT\Interface\{54E7E080-1DA6-412E-96B5-C290FCEF5329} HKEY_CLASSES_ROOT\TypeLib\{2EC7A834-9C5E-4154-BADC-0D86A2EDC82D} HKEY_CLASSES_ROOT\TypeLib\{54E7E081-1DA6-412E-96B5-C290FCEF5329} HKEY_CLASSES_ROOT\GetAndRun.DFRun HKEY_CLASSES_ROOT\GetAndRun.DFRun.1 HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl.1 HKEY_CLASSES_ROOT\ttjltept HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Uninstall\{4A840E1E-2BA8-47de-923E-0E00407EB530} HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\CME HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\GMT HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\CMEII\GSNInstalled HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\stat\GMT HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\GInternet HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\trickles HKEY_LOCAL_MACHINE\SOFTWARE\hlnpan
Agrega el valor:

"Trickler" = "[PATH TO ADWARE FILE]"
"CMESys" = "%ProgramFiles%\Common Files\CMEII\CMESys.exe"en la clave de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runcon lo que el Adware se puede ejecutar cuando se inicia Windows.
Se conecta a un servidor en el dominio [RANDOM NAME].gator.com, en el puerto 80 y envía los hábitos de navegación del usuario al servidor. El adware también descarga publicidad del servidor.

Nota: Otros programas descargan Adware.GAIN para que les permitan descargar y mostrar publicidad en ventanas de mensajes emergentes.

Eliminación

Resumen