VARIANTE DE ADWARE DEALPLY LANZADO POR UN SCRIPT SIN EXTENSIÓN

A traves de un adware que puede haber llegado con la instalación de alguna utilidad de internet, se instala un EXE que se recarga con un script que lo regenera:

“C:\Program Files (x86)\Common Files\Kebim\sync.exe

El cual crea esta clave de lanzamiento de un vbs sin extensión:

O4 – HKLM\..\Wow6432Node\..\RunOnce: [Hireg] C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B “C:\Users\<usuario>\AppData\Roaming\Dafisomafo <–fichero script sin extensión (de nombre variable)

La solución está en eliminar dicha clave RUNONCE de lanzamiento del VBS, asi como borrar el fichero que lanza (en este caso es el Dafisomafo) y el adware arriba indicado.

Se trata de un ADWARE DEALPLY, que pasaremos a controlar a partir del ELISTARA 36.04 de hoy.

Además, vemos que en la relación de programas instalados existe el desinstalador para dicha aplicación, desinstalador que recomendamos ejecutar antes que nada para que no falte nada de lo que necesite a tal fin:

BingProvidedSearch -> “C:\Users\Carlos\AppData\Local\{9543A31F-B1EB-CFA7-DC73-EA4FF81B16D7}\uninst.exe” -FN=”C:\Program Files (x86)\Common Files\Kebim\sync.exe”-P=/Uninstall /s /noun /DelSelfDir

Tambien conviene eliminar, además, la clave de lanzamiento del script, por si no lo hiciere dicho desinstalador :

O4 – HKLM\..\Wow6432Node\..\RunOnce: [Hireg] C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B “C:\Users\<usuario>\AppData\Roaming\Dafisomafo

y del fichero en cuestion C:\Users\<usuario>\AppData\Roaming\Dafisomafo

Todo ello por si la desinstalación del Adware propiamente dicho, que es el “C:\Program Files (x86)\Common Files\Kebim\sync.exe” no hubiera limpiado los restos anteriores

Esperamos que así el adware quede eliminado y con ello el popup, de Chromium o de lo que tenga programado dicho malware.

Al adware en cuestión lo pasamos a controlar a partir del ELISTARA 35.04 de hoy, si bien una limpieza total deberá hacerla el antivirus que los controle (debido a la falta de extension del vbs) o por el usuario, eliminando clave y fichero indicado.

EL preanalisis de virustotal sobre el fichero adware en cuestión, ofrece el siguiente informe:

MD5 3acac41c2b7af13f018fe2af7128a0ac
SHA1 a69a877a7b23e7f6fb0e1286e3f8a7301504e912
File size 453.0 KB ( 463872 bytes )
SHA256: 1ba4f4b5cb098f9f3d9953fc267a8a38e01bacb00941dd28d6fa05263d200622
File name: sync.exe
Detection ratio: 16 / 56
Analysis date: 2017-01-19 12:30:34 UTC ( 1 minute ago )
0
1

Antivirus Result Update
AVG DealPly 20170119
Antiy-AVL Trojan/Win32.TSGeneric 20170119
Avast Win32:Adware-gen [Adw] 20170119
Avira (no cloud) ADWARE/DealPly.natdn 20170119
CAT-QuickHeal Adware.DealPly.AL8 20170119
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20161024
DrWeb Adware.DealPly.260 20170119
ESET-NOD32 a variant of Win32/DealPly.EO.gen potentially unwanted 20170119
Ikarus PUA.DealPly.Eo 20170119
Invincea backdoor.win32.bergat.a 20170111
Kaspersky not-a-virus:AdWare.Win32.DealPly.xccr 20170119
NANO-Antivirus Riskware.Win32.DealPly.ekpowm 20170119
Panda Trj/GdSda.A 20170118
Qihoo-360 HEUR/QVM05.1.0000.Malware.Gen 20170119
Rising PUA.DealPly!8.96-FEqCCG2o99 (cloud) 20170119
Symantec SMG.Heur!gen 20170118

Dicha versión del ELISTARA 36.04 que detecta dicho adware y lo elimina, estará disponible en nuestra web a partir del 20-1-2017, pero primero desinstalarlo, manualmente o con el ELIPUPS .

Tambien añadimos al ELIPUPS la detección y acceso a la desinstalación de dicha “aplicación”

saludos

ms, 19-1-2017