VARIANTE DE ADWARE DEALPLY LANZADO POR UN SCRIPT SIN EXTENSIÓN
A traves de un adware que puede haber llegado con la instalación de alguna utilidad de internet, se instala un EXE que se recarga con un script que lo regenera: “C:\Program Files (x86)\Common Files\Kebim\sync.exe El cual crea esta clave de lanzamiento de un vbs sin extensión: O4 – HKLM\..\Wow6432Node\..\RunOnce: [Hireg] C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B “C:\Users\<usuario>\AppData\Roaming\Dafisomafo <–fichero […]
Leer el resto de esta entrada »