Actualizado: 13 de Febrero de 2007 11:32:37 AM
Tipo: Adware
Versión: 2.1
Creador: WhenU
Impacto del riesgo: Bajo
Nombres de archivos:
Save.exe
VVSN.exe
xplus.exe
savenow.exe
WUInst.dll
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Cuando Adware.Savenow se ejecuta realiza lo siguiente:
- Crea los siguientes archivos:
- %ProgramFiles%\Save\Save.exe
- %ProgramFiles%\Save\Save.html
- %ProgramFiles%\Save\Readme.txt
- %ProgramFiles%\Save\SaveUninst.exe
- %ProgramFiles%\VVSN\VVSN.exe
- %ProgramFiles%\SaveNow\Readme.txt
- %ProgramFiles%\SaveNow\SaveNow.exe
- %ProgramFiles%\SaveNow\SaveNow.htm
- %ProgramFiles%\SaveNow\Uninst.exe
- %ProgramFiles%\Xtractor Plus\hh.html
- %ProgramFiles%\Xtractor Plus\readme.txt
- %ProgramFiles%\Xtractor Plus\unins000.dat
- %ProgramFiles%\Xtractor Plus\unins000.exe
- %ProgramFiles%\Xtractor Plus\xp.exe
- %ProgramFiles%\Xtractor Plus\Xplus.CNT
- %ProgramFiles%\Xtractor Plus\XPLUS.HLP
- %System%\CCRPFTV6.OCX
- %System%\SSubTmr.dll
- %System%\TABCTL32.OCX
- %System%\UNACE.DLL
- %System%\UNRAR.dll
- %System%\Unzip32.dll
- %Windir%\hh.ico
- %Windir%\hhs.url
- %Windir%\Downloaded Program Files\WUInst.dll
- %UserProfile%\Start Menu\Programs\WhenU\Learn More About Save!.url
- %UserProfile%\Start Menu\Programs\WhenU\Learn More About SaveNow.url
- %UserProfile%\Start Menu\Programs\WhenU\WhenU.com Website.url
Nota:
- %Archivos de programa% es una variable para hacer referencia a la carpeta Archivos de programa. Por defecto, se trata de C:\Program Files.
- %System% es una variable para hacer referencia a la carpeta System. De forma predeterminada esta carpeta se encuentra en C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) o en C:\Windows\System32 (Windows XP).
- %Windir% es una variable para hacer referencia a la carpeta de instalación de Windows. (En forma predefinida es C:\Windows o C:\Winnt).
- Añade los valores:
" VVSN" = "%ProgramFiles%\VVSN\VVSN.exe"
"SaveNow" = "%ProgramFiles%\SaveNow\SaveNow.exe"
"WhenUSave" = "%ProgramFiles%\Save\Save.exe"
a una o más de las siguientes sub-claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
con lo que el adware se ejecuta cada vez que inicia Windows.
- Crea las siguientes sub-claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ WhenUSaveMsg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Xtractor Plus_is1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free Software
HKEY_CLASSES_ROOT\WUSN.1
HKEY_CLASSES_ROOT\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}
- Contacta un servidor en el dominio whenu.com, para descargar y mostrar publicidad.
- Registra los hábitos de navegación en Internet. Sin embargo, la información recopilada no se envía al servidor. Se almacena en el equipo local y se utiliza para determinar que publicidad debería de aparecer.
Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Fresqui
BarraPunto
Newsvine
