Author: Rika Joi Gregorio   
 Modified By:: RonJay Kristoffer Caragay
 

AdWare.Win32.Bromngr.b (Kaspersky), Bprotector (fs) (Sunbelt), a variant of Win32/bProtector.B application (Eset), Adware.GoonSquad (Norton), Adware/Bromngr (Fortinet), App/BProtect-B (Webroot)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Adware

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Llega como componente integrado en paquetes de malware/grayware/spyware. No obstante, de este modo no se podr¨¢ acceder a los sitios mencionados.

  TECHNICAL DETAILS

File size: 2,716 bytes
File type: Other
INITIAL SAMPLES RECEIVED DATE: 02 maja 2013
PAYLOAD: Downloads files

Detalles de entrada

Llega como componente integrado en paquetes de malware/grayware/spyware.

Puede haberse descargado desde los sitios remotos siguientes:

  • http://www.{BLOCKED}ystem.com/builds/2063B90/pack.7z
  • http://{BLOCKED}szq85hyn.cloudfront.net/builds/2063B90/pack.7z

No obstante, de este modo no se podr¨¢ acceder a los sitios mencionados.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %User Temp%\ns{random letter}{random numbers}.tmp\babylon.dll - deleted immediately after dropping, also detected as ADW_BPROTECT

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware infiltra los siguientes archivos no maliciosos:

  • %User Temp%\ns{random letter}{random numbers}.tmp\installutils.dll - deleted after dropping
  • %User Temp%\ns{random letter}{random numbers}.tmp\InetLoad.dll - deleted after dropping

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

  • %User Temp%\ns{random letter}{random numbers}.tmp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

T¨¦cnica de inicio autom¨¢tico

Se registra como BHO para garantizar su ejecuci¨®n autom¨¢tica cada vez que se utilice Internet Explorer mediante la introducci¨®n de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\ {4D2D3B0F-69BE-477A-90F5-FDDB05357975}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO\CurVer

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
AppID\kerberos_bho.DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
AppID\{BD56B5F0-BF3B-4AE5-A26D-FF92250A465E}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\ProgID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\Programmable

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\TypeLib

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\VersionIndependentProgID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\ProxyStubClsid

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\ProxyStubClsid32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\TypeLib

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
0

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
0\win32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
FLAGS

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
HELPDIR

Agrega las siguientes entradas de registro para permitir su propia instalaci¨®n como objeto de ayuda del explorador (BHO):

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO
Default = "ProtectorBHO Class"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO\CLSID
Default = "{4D2D3B0F-69BE-477A-90F5-FDDB05357975}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO\CurVer
Default = "kerberos_bho.ProtectorBHO.1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO.1
Default = "ProtectorBHO Class"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
kerberos_bho.ProtectorBHO.1\CLSID
Default = "{4D2D3B0F-69BE-477A-90F5-FDDB05357975}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
AppID\kerberos_bho.DLL
AppID = "{BD56B5F0-BF3B-4AE5-A26D-FF92250A465E}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}
Default = "kerberos_bho"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}
Default = "ProtectorBHO Class"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\InprocServer32
Default = "{malware path}\kerberos_bho.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\InprocServer32
ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\ProgID
Default = "kerberos_bho.ProtectorBHO.1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\TypeLib
Default = "{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{4D2D3B0F-69BE-477A-90F5-FDDB05357975}\VersionIndependentProgID
Default = "kerberos_bho.ProtectorBHO"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}
Default = "IProtectorBHO"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\ProxyStubClsid
Default = "{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\ProxyStubClsid32
Default = "{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\TypeLib
Default = "{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{8A556DF6-9025-45A8-9977-51DBEA33AFEA}\TypeLib
Version = "1.0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0
Default = "kerberos_bho 1.0 Type Library"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
0\win32
Default = "{malware path}\kerberos_bho.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
FLAGS
Default = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}\1.0\
HELPDIR
Default = "{malware path}"

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\ns{random letter}{random numbers}.tmp\pack.7z - updated copy of ADW_BPROTECT

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

  SOLUTION

Minimum scan engine: 9.700
SSAPI Pattern-Datei: 1.398.15
SSAPI Pattern ver?ffentlicht am: 02 May 2013

Step 2

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Cierre todas las ventanas abiertas del explorador.

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    • {4D2D3B0F-69BE-477A-90F5-FDDB05357975}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes
    • kerberos_bho.ProtectorBHO
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
    • kerberos_bho.DLL
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
    • BD56B5F0-BF3B-4AE5-A26D-FF92250A465E}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    • {4D2D3B0F-69BE-477A-90F5-FDDB05357975}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    • {8A556DF6-9025-45A8-9977-51DBEA33AFEA}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    • {BFCFC139-033E-4A6D-BAA2-C6AAD53A1EDD}

Step 5

Buscar y eliminar esta carpeta

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
  • %Application Data%\Mozilla\Firefox\Profiles\{random value}.default\extensions\{0F827075-B026-42F3-885D-98981EE7B1AE}
  • %AppDataLocal%\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph
  • %User Temp%\ns{random letter}{random numbers}.tmp

Step 6

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como ADW_BPROTECT En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

Step 7

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n "M¨¢s opciones avanzadas" para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos. ?
  • %User Temp%\ns{random letter}{random numbers}.tmp\babylon.dll
DATA_GENERIC_FILENAME_1
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado el archivo, selecci¨®nelo y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarlo definitivamente.
  • Repita los pasos 2 a 4 con el resto de archivos:
      ?
      • %User Temp%\ns{random letter}{random numbers}.tmp\babylon.dll


    • Did this description help? Tell us how we did.