Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
nCase realiza las siguientes acciones:
- Se ejecuta en segundo plano y muestra páginas con información, ofertas y productos de acuerdo con las palabras clave introducidas por el usuario mientras navega por Internet.
- Descarga y visualiza publicidad basada en los hábitos de uso de Internet del usuario.
- Modifica las opciones de búsqueda por defecto de Internet Explorer, así como su página de inicio:
>Metodo de Infección
nCase crea los siguientes archivos:
nCase crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%entrada% = %windir%\ %archivo%.exe
donde %windir% es el directorio de Windows, y %entrada% y %archivo% son los nombres aleatorios de la entrada y el archivo creados. - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
msbb = %ArchivosPrograma%\ 180search assistant\ msbb.exe
donde %ArchivosPrograma% es el directorio de Archivos de Programa.
Mediante estas entradas, nCase consigue ejecutarse cada vez que Windows se inicia. HKEY_CLASSES_ROOT\ 180SAInstaller.180SAInstaller
HKEY_CLASSES_ROOT\ CLSID\ {B10031B2-F184-4803-9A88-D239C0641D70}
HKEY_CLASSES_ROOT\ Interface\ {DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
HKEY_CLASSES_ROOT\ TypeLib\ {F2BF4713-E933-4B66-8694-22ED243709C7}
HKEY_CURRENT_USER\ Software\ 180solutions
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar = http://best-search.cc/search.php*
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = http://best-search.cc/search.php*
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http://best-search.cc/search.php*
HKEY_CURRENT_USER\ Software\ msbb
HKEY_LOCAL_MACHINE\ Software\ 180solutions
HKEY_LOCAL_MACHINE\ Software\ Classes\ 180SAInstaller.180SAInstaller
HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {B10031B2-F184-4803-9A88-D239C0641D70}
HKEY_LOCAL_MACHINE\ Software\ Classes\ TypeLib\ {F2BF4713-E933-4B66-8694-22ED243709C7}
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Code Store Database\ Distribution Units\ {B10031B2-F184-4803-9A88-D239C0641D70}
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ModuleUsage\ %windir%\ Downloaded Program Files\ 180SAInstaller.dll
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ModuleUsage\ %windir%\ Downloaded Program Files\ 180SALib.dll
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ msbb
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ SharedDLLs
%windir%\ Downloaded Program Files\ 180SAInstaller.dll
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ SharedDLLs
%windir%\ Downloaded Program Files\ 180SALib.dll
HKEY_LOCAL_MACHINE\ Software\ msbb
HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar = http://best-search.cc/search.php*
HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = http://best-search.cc/search.php*
HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http://best-search.cc/search.php*
Método de Propagación
Originalmente, el adware es una fórmula de licencia para el uso de programas, en la cual se oferta el uso de la aplicación con el único coste de visualizar una serie de mensajes publicitarios. Sin embargo, en ocasiones, estos programas recogen información sobre los hábitos de uso de Internet, páginas visitadas, inventario de las aplicaciones instaladas en el equipo, etc.
nCase puede ser instalado manualmente o venir incluido en otras aplicaciones. Muestra la siguiente pantalla cuando va a ser instalado:
Otros Detalles
nCase ha sido escrito en el lenguaje de programación Visual C++ en su versión 7. Este adware tiene un tamaño de 108010 Bytes cuando está comprimido, y de 286720 Bytes una vez descomprimido.