Adware.180Search

Versão para impressão

Atualizado: February 13, 2007 11:37:10 AM
Tipo: Adware
Versão: n/a
Autor: 180Solutions
Impacto do risco: Medium
Nomes de arquivos: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Sistemas afetados: Windows

Comportamento


O Adware.180Search é um programa adware que monitora o conteúdo das janelas do navegador da web. Ao detectar certas palavras-chave nas janelas de pesquisa ou de compras do navegador, esta ameaça abre páginas de sites afiliados.

Nota : As detecções com data de 10 de março de 2005 ou anteriores podem ter detectado esse adware como Adware.Ncase.

Sintomas


O produto Symantec detecta como Adware.180Search.

Transmissão


Esta ameaça pode ser instalada manualmente ou como componente de outro programa.

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 02, 2014 revisão 022
  • Última versão do Rapid Release April 25, 2018 revisão 039
  • Versão inicial diária certificada June 16, 2004 revisão 003
  • Última versão diária certificada April 26, 2018 revisão 002
  • Data da versão inicial semanal certificada June 16, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Atualizado: February 13, 2007 11:37:10 AM
Tipo: Adware
Versão: n/a
Autor: 180Solutions
Impacto do risco: Medium
Nomes de arquivos: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Sistemas afetados: Windows


Quando o Adware.180Search é executado, ele faz o seguinte:

  1. Pode criar a seguinte pasta:

    %Windir%\FLEOK\

    Notas:
    %Windir% é uma variável que se refere à pasta de instalação do Windows. Por padrão, é C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).

  2. Esta ameaça grava uma cópia de si mesma em um ou mais dos seguintes locais:

    • %ProgramFiles%\180search Assistant\sain.exe
    • %ProgramFiles%\180search Assistant\hsr.dll
    • %ProgramFiles%\180search Assistant\sau.exe
    • %ProgramFiles%\180search Assistant\sau.log
    • %ProgramFiles%\180search Assistant\sau.dll
    • %ProgramFiles%\180search Assistant\sau_[3 RANDOM LETTERS].dat
    • %ProgramFiles%\180search Assistant\sauau.dat
    • %ProgramFiles%\180search Assistant\sac.exe
    • %ProgramFiles%\180search Assistant\sauhook.dll
    • %ProgramFiles%\180search Assistant\sachook.dll
    • %ProgramFiles%\180searchassistant\salm.exe
    • %ProgramFiles%\180searchassistant\salmau_update.dat
    • %ProgramFiles%\180searchassistant\salmhook.dll
    • %ProgramFiles%\180searchassistant\salm.dat
    • %ProgramFiles%\180searchassistant\salm_[3 LETRAS ALEATÓRIAS].dat
    • %ProgramFiles%\180searchassistant\salm_3 LETRAS ALEATÓRIAS]_update.dat
    • %ProgramFiles%\180searchassistant\sac_[3 LETRAS ALEATÓRIAS]_update.dat
    • %ProgramFiles%\180searchassistant\sac_[3 LETRAS ALEATÓRIAS].dat
    • %ProgramFiles%\180searchassistant\sackyf.dat
    • %ProgramFiles%\180searchassistant\sacau.dat
    • %Windir%\[NOME DE ARQUIVO ALEATÓRIO].exe
    • %Windir%\salm.exe
    • %Windir%\salm[letras aleatórias].dat
    • %Windir%\salmhook.dll
    • %Windir%\salm_gdf.dat
    • %Windir%\salm_kyf.dat
    • %Windir%\salm.log
    • %Windir%\Downloaded Program Files\ClientAx.dll
    • %Windir%\Downloaded Program Files\ClientAx.inf
    • %Temp%\180sainstallernusalm.exe
    • %UserProfile%\Configurações locais\Temp\180ax.exe
    • %UserProfile%\Configurações locais\Temp\180ax.log
    • %Windir%\ClientInstaller.log

      Notas:
    • %ProgramFiles% é uma variável que se refere à pasta Arquivos de programas. Por padrão, é C:\Arquivos de programas.
    • %Windir% é uma variável que se refere à pasta de instalação do Windows. Por padrão, é C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
    • %Temp% é uma variável que se refere à pasta de temporários do Windows. Por padrão, é C:\Windows\TEMP (Windows 95/98/Me/XP) ou C:\Winnt\Temp (Windows NT/2000).
    • %UserProfile% é uma variável que se refere à pasta de perfil do usuário atual. Por padrão, é C:\Documents and Settings\[Nome do Usuário Atual] (Windows NT/2000/XP).

  3. Pode criar os seguintes arquivos:

    • %SystemDrive%\Documents and Settings\All Users\Menu Inicar\Programas\180search Assistant\180search Assistant.com.url
    • %SystemDrive%\Documents and Settings\All Users\Menu Iniciar\Programas\180search Assistant\Uninstall 180search Assistant Instructions.lnk

      Nota: %SystemDrive% é uma variável que se refere à unidade onde o Windows está instalado. Por padrão, é a unidade C.

  4. Pode adicionar os valores:

    "MSBB" = "[CAMINHO PARA O ARQUIVO]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = "[CAMINHO PARA O ARQUIVO]\"salm.exe"
    "180ax" = "%userprofile%\Configurações locais\temp\180ax.exe"
    "[NOME DE ARQUIVO ALEATÓRIO]" = "%Windir%\[NOME DE ARQUIVO ALEATÓRIO].exe"

    para a subchave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    para que a ameaça seja executada na inicialização do Windows.

  5. Cria algumas das seguintes entradas de registro:

    HKEY_CLASSES_ROOT\CLSID\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_CLASSES_ROOT\CLSID\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_CLASSES_ROOT\CLSID\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_CLASSES_ROOT\Interface\{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_CLASSES_ROOT\Interface\{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_CLASSES_ROOT\TypeLib\{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_CLASSES_ROOT\TypeLib\{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\ncmyb.SABHO
    HKEY_CLASSES_ROOT\ncmyb.SABHO.1
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller.1
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent.1
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Explorer\Browser Helper Objects\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    \Uninstall\sau

  6. Pode adicionar o valor:

    "LoginSessionDisable" = "1"

    à chave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

    para evitar que esta ameaça faça com que o sistema automaticamente disque para um Provedor de Serviços de Internet (ISP).

  7. Monitora os conteúdos das janelas do navegador da web. Quando certas palavras-chave (configuráveis) são detectadas nas janelas de pesquisa ou compras do navegador, o adware exibe a página da web de um site afiliado. A informação coletada inclui:

    • Palavras digitadas no navegador da web.
    • O endereço do website no qual as palavras foram digitadas.
    • A versão do sistema operacional (incluindo o service pack).
    • o navegador da web utilizado (incluindo o número da versão).
    • A largura e a altura da tela.

  8. Monitora o estado do aplicativo do adware; se o aplicativo for parcialmente removido, os componentes ausentes serão reinstalados.


Atualizado: February 13, 2007 11:37:10 AM
Tipo: Adware
Versão: n/a
Autor: 180Solutions
Impacto do risco: Medium
Nomes de arquivos: Msbb.exe Boomerang.exe 180SAInstaller.dll setup4156.exe sac.exe sau.exe 1802.dll salmbundle
Sistemas afetados: Windows


Nota: Remover esse componente adware do sistema provavelmente fará com que o programa que o instalou não funcione adequadamente. O utilitário de desinstalação geralmente identifica os programas que não funcionarão após a desinstalação.

Remoção utilizando a Ferramenta de Remoção do Adware.180Search
O Symantec Security Response criou uma ferramenta para remover o Adware.180Search. Utilize primeiro essa ferramenta de remoção, pois é o método mais fácil de eliminar a ameaça.

A ferramenta pode ser encontrada em: http://securityresponse.symantec.com/avcenter/Fix180Sh.exe

A versão atual da ferramenta é 1.0.5 e a assinatura digital possui data e hora equivalentes a 02/14/2005 3:31PM (Horário padrão do Pacífico).

Nota:
A data e a hora exibidas serão ajustadas de acordo com o fuso horário local caso o computador não esteja definido para o fuso horário do Pacífico.

Há registros de que um computador com o Adware.180Search também possa ter outros riscos à segurança instalados. A Symantec recomenda que as seguintes etapas sejam executadas:



Remoção manual
As instruções a seguir aplicam-se a todos os produtos antivírus Symantec que suportam a detecção de Riscos à Segurança.
  1. Atualize as definições.
  2. Desinstale o Adware.180Search através do recurso Adicionar ou remover programas.
  3. Execute uma verificação completa do sistema e exclua todos os arquivos que forem detectados como Adware.180Search.
  4. Exclua o valor que foi adicionado ao Registro.
Para mais informações sobre cada uma dessas etapas, consulte as instruções a seguir.

1. Atualizando as definições de vírus
Para obter as definições mais recentes, inicie o produto Symantec e execute o LiveUpdate.

2. Desinstalando o adware
Este adware inclui um utilitário de desinstalação. Para utilizá-lo, siga as instruções abaixo:
  1. Clique em Iniciar > Configurações > Painel de controleou Iniciar > Painel de controle (isso varia dependendo do sistema operacional).

  2. Na janela do Painel de controle, clique duas vezes em Adicionar ou remover programas.

    Somente no Windows Me: Se não vir o ícone Adicionar ou remover programas, clique em...exibir todas as opções do Painel de controle.

  3. Clique em 180Search assistant

    Nota:
    Talvez seja necessário utilizar a barra de rolagem para exibir a lista inteira.

  4. Clique em Adicionar/Remover, Alterar/Removerou Remover (os nomes variam dependendo do sistema operacional). Siga as indicações na tela.

    Nota: Após executar o utilitário Adicionar ou remover programas, é provável que todos os arquivos tenham sido removidos. É aconselhável executar uma verificação completa do sistema para garantir que a ameaça foi completamente removida. Entretanto, é possível que nenhum arquivo seja detectado após utilizar o Adicionar ou remover programas.


3. Executando a verificação
  1. Inicie o produto antivírus Symantec e execute uma verificação completa do sistema.
  2. Se algum arquivo for detectado e, dependendo da versão do programa utilizada, é possível que uma ou mais das seguintes opções sejam exibidas:

    Nota: Isso somente se aplica às versões do Norton AntiVirus que detectam riscos à segurança. Se estiver executando uma versão do Symantec AntiVirus Corporate Edition que detecta riscos à segurança e esse recurso estiver ativado, somente uma mensagem com os resultados da verificação será exibida. Se tiver dúvidas em relação a isso, entre em contato com o administrador da rede.
    • Excluir (Não recomendado): Se clicar nesse botão, o programa identificado como risco à segurança nunca mais será detectado. Ou seja, o programa antivírus conservará o programa no computador e não o detectará mais.

    • Ignorar: Esta opção faz com que a verificação ignore o risco à segurança somente nessa verificação. O risco será detectado novamente na próxima vez que uma verificação for executada.

    • Cancelar: Essa opção é nova no Norton AntiVirus 2005. Ela é utilizada quando o programa determina que não é possível excluir um programa detectado como um risco à segurança. A opção Cancelar faz com que a verificação ignore o risco à segurança somente nessa verificação e, assim, o risco será detectado novamente na próxima vez que uma verificação for executada.

      Para realmente excluir o adware:
      • Clique no nome do arquivo do risco (sob a coluna Nome do arquivo).
      • Na caixa de diálogo Informações do item anote o caminho completo e o nome do arquivo.
      • Depois utilize o Windows Explorer para localizar e excluir o arquivo.

    • Excluir: Essa opção tentará eliminar os arquivos detectados. Em alguns casos, a verificação não conseguirá excluí-los.
      • Se a seguinte mensagem for exibida, "Falha ao excluir" (ou uma mensagem similar), exclua manualmente o arquivo.
      • Clique no nome do arquivo do risco que está sob a coluna Nome do arquivo.
      • Na caixa de diálogo Informações do item anote o caminho completo e o nome do arquivo.
      • Depois utilize o Windows Explorer para localizar e excluir o arquivo.

Importante: Se não for possível iniciar o produto antivírus Symantec ou se o produto informar que não foi possível excluir um arquivo detectado, será necessário interromper a execução do adware para poder removê-lo. Para fazer isso, execute a verificação no Modo de Segurança. Para mais informações, consulte o documento Iniciando o computador no Modo de Segurança . Execute a verificação novamente no Modo de Segurança.

Após os arquivos terem sido detectados, reinicie o computador no Modo Normal e vá para a próxima seção.

Mensagens de aviso podem vir a ser exibidas durante a reinicialização do computador, pelo fato do adware não ter sido completamente removido até este ponto. Ignore essas mensagens e clique em OK. As mensagens não serão exibidas após as instruções de remoção terem sido totalmente completadas. As mensagens exibidas podem ser similares às seguintes:

Título: [CAMINHO DO ARQUIVO]
Corpo da mensagem: O Windows não pôde localizar o [NOME DO ARQUIVO]. Certifique-se de ter digitado o nome corretamente e tente novamente. Para procurar um arquivo, clique em Iniciar .

4. Excluindo o valor do Registro
AVISO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no registro podem resultar na perda permanente de dados ou em arquivos corrompidos. Altere somente as chaves que são especificadas. Consulte o documento Fazendo um backup do Registro do Windows para mais informações.
  1. Clique em Iniciar > Executar.
  2. Digite regedit

    Clique em OK.

    Nota:Se não for possível abrir o Editor do Registro, o adware pode ter alterado o registro para evitar o acesso ao Editor do registro. O Security Response criou uma ferramentapara solucionar esse problema. Faça o download e execute essa ferramentae continue com a remoção.
  3. Navegue até a chave:

     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. No painel direito, exclua os valores:

    "MSBB" = "[CAMINHO PARA O ARQUIVO]"
    "sau" = "%ProgramFiles%\180search assistant\sau.exe"
    "sac" = "%ProgramFiles%\180searchassistant\sac.exe"
    "sain" = "%ProgramFiles%\180search assistant\sain.exe"
    "salm" = Caminho para "salm.exe"
    "180ax" = "%userprofile%\local settings\temp\180ax.exe"
    "[NOME DE ARQUIVO ALEATÓRIO]" = "%Windir%\[ NOME DE ARQUIVO ALEATÓRIO].exe"

  5. Navegue até a subchave de registro:

    HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Control

  6. No painel direito, defina o valor:

    "LoginSessionDisable" = "0"

  7. Navegue até e exclua as seguintes subchaves:

    HKEY_CLASSES_ROOT\CLSID\{0AC49246-419B-4EE0-8917-8818DAAD6A4E}
    HKEY_CLASSES_ROOT\CLSID\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_CLASSES_ROOT\CLSID\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_CLASSES_ROOT\CLSID\{B10031B2-F184-4803-9A88-D239C0641D70}
    HKEY_CLASSES_ROOT\Interface\{2B0ECEAC-F597-4858-A542-D966B49055B9}
    HKEY_CLASSES_ROOT\Interface\{7B178417-3CDA-444F-94FF-312C0A3A78A8}
    HKEY_CLASSES_ROOT\Interface\{A79F8202-E09D-4F0F-AD4D-DCAE1DAC5994}
    HKEY_CLASSES_ROOT\Interface\{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
    HKEY_CLASSES_ROOT\Interface\{F1F1E775-1B21-454D-8D38-7C16519969E5}
    HKEY_CLASSES_ROOT\TypeLib\{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA}
    HKEY_CLASSES_ROOT\TypeLib\{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}
    HKEY_CLASSES_ROOT\TypeLib\{F2BF4713-E933-4B66-8694-22ED243709C7}
    HKEY_CLASSES_ROOT\ncmyb.SABHO
    HKEY_CLASSES_ROOT\ncmyb.SABHO.1
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller
    HKEY_CLASSES_ROOT\ClientAX.ClientInstaller.1
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent
    HKEY_CLASSES_ROOT\ClientAX.RequiredComponent.1
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller
    HKEY_CLASSES_ROOT\180SAInstaller.180SAInstaller.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{99410CDE-6F16-42ce-9D49-3807F78F0287}
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4}
    HKEY_LOCAL_MACHINE\SOFTWARE\sau
    HKEY_LOCAL_MACHINE\SOFTWARE\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\sau
    HKEY_CURRENT_USER\Software\sac
    HKEY_CURRNET_USER\Software\sain
    HKEY_CURRENT_USER\SOFTWARE\salm
    HKEY_CURRENT_USER\SOFTWARE\180ax
    HKEY_CURRENT_USER\Software\180solutions
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\180ax
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sac
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sain
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\salm
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sau

  8. Saia do Editor do Registro.