Advanced Window Manager es un software potencialmente no deseado que inunda el sistema del usuario con anuncios. Pretende ser una herramienta que añade nuevas funcionalidades a Windows, pero en realidad redirige las consultas de búsqueda., rastrea la actividad del usuario en Internet y muestra anuncios. Las formas típicas de distribución de este programa son el paquete de software y la publicidad maliciosa..
Descripción general del Advanced Window Manager
Advanced Window Manager es un programa no deseado parecido a un adware. A pesar de posicionarse como una utilidad útil, su tarea principal es bombardear al usuario con anuncios. Al mismo tiempo, el programa suele anunciar cosas fraudulentas o maliciosas, poniendo al usuario en grave riesgo. Al hacer clic en las promociones que muestra este Administrador de ventanas, se puede redirigir al usuario a un sitio web fraudulento que, sin darse cuenta, descarga otro software potencialmente no deseado.
Otra característica no declarada es recopilar información sobre la actividad de un usuario en Internet. Estos datos incluyen consultas de búsqueda., URL ingresadas, geodatos, y Direcciones IP, que luego será vendido a terceros. Advanced Window Manager generalmente se distribuye como software complementario en paquetes de otros programas. Dado que el software no es muy sigiloso, el usuario puede ver el proceso (o varios) en el Administrador de tareas.
Análisis detallado
Analicemos cómo se comporta Advanced Window Manager en el sistema para comprender su verdadera naturaleza.. Llega a través del instalador, que precede al programa original, y hace algunas comprobaciones básicas del sistema. Durante la instalación, El software no deseado extrae los siguientes archivos a una carpeta temporal en el sistema:
C:\Users\Admin/AppData\Local\Temp\7zS4E1438CD\setup_install.exe
C:\Users\Admin\AppData\Local\Temp\7zS4E1438CD\libcurlpp.dll.
C:\Users/Admin\AppData\Local\Temp\7zS4E1438CD\libstdc++-6.dll.
C:\Users\Admin\AppData\Local\Temp\7zS4E1438CD\libcurl.dll.
También restablece algunos archivos, incluido:
%WINDIR%\Microsoft.NET\Framework\v4.0.30319\clr.dll
%WINDIR%\System32\rundll32.exe.
C:\Users\
C:\Users\
Instalación
Una vez instalada, Advanced Window Manager (muestra en VirusTotal) comienza a realizar su tarea principal – inundar el sistema del usuario con anuncios. Comprueba el siguiente valor de registro, que se encarga de regionalizar el sistema para instalar más «importante» programas.
\REGISTRY\USER\S-1-5-21-1346565761-3498240568-4147300184-1000\Control Panel\International\Geo\Nation
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IMM\Ime File
\Registry\Machine\Software\Policies\Microsoft\System\DNSclient
Después de ese pequeño cheque, el malware se conecta a su servidor de comando. En mi caso, una de las solicitudes que siguieron a la conexión original instaló un programa no deseado llamado Ultra Media Burner. Lo más probable es que dependa de los resultados de la verificación de geolocalización antes mencionada.
GET http://limesfile.com
GET http://limesfile.com/Ea42LhC7KVL6GEpzgxwW/C_Net_8Rpjkd5GEqRYJq87/UltraMediaBurner.exe
GET http://estrix.xyz/addInstallImpression.php?key=125478824515ADNxu2ccbwe&ip=&oid=139
Controles adicionales & Persistencia
Ser una muestra bastante habitual de adware, Advanced Window Manager realiza una serie de comprobaciones del sistema para determinar su ubicación. Comprobando los valores de varias claves de registro, el malware obtiene la información de la red. Es poco probable que tenga algún tipo de geocerca, Por lo tanto, estos datos son principalmente necesarios para orientar los anuncios correctamente.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dnscache\InterfaceSpecificParameters\
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig
Después de eso, el programa malicioso edita otro conjunto de claves de registro relacionadas con los servicios y controladores de Windows. Aquí es donde gana persistencia al agregar los valores que asociarán sus archivos con algunos de los controladores/servicios del sistema.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpKsl9a97d018\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpKslcbc6775c\Parameters
Publicidad, Redirecciones de búsqueda y secuestro del navegador
Después de todos los preparativos, Advanced Window Manager comienza a actuar como software publicitario o secuestrador del navegador. El escenario más común después de instalar este tipo de software es el secuestro del navegador. La PUA cambia la página de inicio y el motor de búsqueda al que anuncia (normalmente Bing o Yahoo). También es común ver un motor sin nombre like Chromstera como página de inicio/motor de búsqueda. En este caso, todas las consultas pasan por el servicio anterior, y el cambio forzado de motor de búsqueda es efectivo hasta el primer reinicio del navegador.
Además de resultados de búsqueda irrelevantes, El adware llena las páginas con anuncios y ventanas emergentes., lo que hace que sea muy difícil de usar. El tercer aspecto de un secuestrador del navegador está recopilando telemetría sobre el usuario. Aunque este tipo de software no suele robar contraseñas ni otra información sensible, redirige todas las consultas de búsqueda a través de su servidor, recopilando así análisis generales sobre el usuario.
¿Cómo eliminar Advanced Window Manager?
Para eliminar Advanced Window Manager, deberías utilizar una herramienta antimalware avanzada. GridinSoft Anti-Malware es una gran opción. Ejecute un análisis completo, Espere a que termine, y sigue las indicaciones.
Es posible que también necesites restablecer tus navegadores web.. Para hacer esto, abra la pestaña Herramientas y seleccione Restablecer configuración del navegador. Además, Te recomiendo que habilites el módulo de seguridad de Internet., que protege contra las amenazas de Internet. Para hacer esto, vaya a la pestaña Proteger y active la casilla Seguridad de Internet.
