Virus SearchAid

La Peligrosidad varía según el Daño y la Propagación


Peligrosidad			Propagación			Daño

Descripción

Detalles

Solución

Estadísticas

Efectos:

SearchAid realiza las siguientes acciones:

Cambia la página de inicio del navegador Internet Explorer por la siguiente:
Además, muestra ventanas con falsos avisos de que el ordenador está afectado por diversos programas spyware y adware, con objeto de intentar engañar al usuario para que visite determinadas páginas web.

Metodo de infección:

SearchAid consta de varios archivos, que son descargados al ordenador desde dos sitios web. Los nombres de archivo indicados a continuación corresponden a los archivos temporales creados, a los que posteriormente se les asigna un nombre aleatorio:

F2INSTALL.EXE. Es el programa instalador de SearchAid.
SERVICE.EXE. Se coloca residente en memoria y realiza los cambios de nombre de los archivos pertenecientes a SearchAid.
FEAT2.DLL. Esta DLL (Librería de enlace Dinámico) es un BHO (Browser Helper Object) del navegador Internet Explorer. Posee diversas funcionalidades, como por ejemplo la desinstalación algunos programas adware instalados previamente, la actualización de SearchAid, etc.
MSHP.DLL. Esta DLL cambia la página de inicio y muestra las ventanas emergentes mencionadas anteriormente.
DICT.DAT, KEYWORDS.DAT, BL.DAT y UPDATE.TXT.

SearchAid borra los siguientes archivos:

HOSTS. Este archivo se encarga de la resolución de nombres a direcciones IP.
SHELL.DLL.

SearchAid crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
%entrada1% = %ruta1%\%f2install%.exe
donde %entrada1% es el nombre aleatorio de la entrada, y %ruta1% es la ruta completa hasta el directorio donde SearchAid ha creado el archivo de nombre aleatorio correspondiente a F2INSTALL.EXE.
Mediante esta entrada, SearchAid consigue ejecutar el programa instalador cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunOnce
%entrada2% = %ruta2%\%service%.exe
donde %entrada2% es otro nombre aleatorio de entrada, y %ruta2% es la ruta completa hasta el directorio donde SearchAid ha creado el archivo de nombre aleatorio correspondiente a SERVICE.EXE.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = res://mshp.dll/index.html#37049
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = res://<ruta a mshp.dll>/sp.html#37049
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Default_Page_URL = res://mshp.dll/index.html#37049
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Default_Search_URL = res://<ruta a mshp.dll>/sp.html#37049
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = res://mshp.dll/index.html#37049
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = res://<ruta a mshp.dll>/sp.html#37049

SearchAid modifica las siguientes entradas del Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Use Search Asst = no
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ URLSearchHooks

Metodo de propagación:

Originalmente, el adware es una fórmula de licencia para el uso de programas, en la cual se oferta el uso de una aplicación con el único coste de visualizar una serie de mensajes publicitarios. Sin embargo, en ocasiones, estos programas recogen información sobre los hábitos de uso de Internet, páginas visitadas, inventario de las aplicaciones instaladas en el equipo, etc.

SearchAid consta de varios archivos, que el programa instalador descarga desde dos sitios web determinados.

Otros detalles:

SearchAid está escrito en el lenguaje de programación Visual C++ v6.0. Su programa de instalación tiene un tamaño de 26624 Bytes.