PUA:Win32/Packunwan es una detección genérica de programas potencialmente no deseados que utiliza paquete de software. Puede variar desde ser simplemente molesto hasta crear una amenaza grave para la seguridad del sistema.. Dependiendo de esto, el grado de daño al sistema variará.
Generalmente, Estos programas no deseados se distribuyen como «software recomendado» en software gratuito, shareware o instaladores crackeados. El nombre «paqueteunwan» representa el programa no deseado que utiliza el embalaje, lo que complica el análisis. Los programas detectados con este nombre casi siempre son herramientas sin nombre o duplicados de otros programas..
PUA:Descripción general de Win32/Packunwan
La PUA:Win32/Packunwan es una aplicación potencialmente no deseada (PUA) detección. Sin embargo, El análisis de muestras recopiladas en la Web reveló funcionalidades mucho más maliciosas.. Debido a la naturaleza diversa de los informes, Es un desafío determinar su comportamiento preciso sin un análisis en profundidad.. Al mismo tiempo, este programa no deseado no se atribuyó a ningún desarrollador o empresa conocida, dando lugar a especulaciones de que estos programas pueden ser de origen dudoso.
Mientras Las PUA no son necesariamente virus, aún pueden ser disruptivos y plantear riesgos de seguridad. Packunwan suele mostrar anuncios no deseados en su computadora. También puede rastrear su actividad de navegación y cambia la configuración de tu navegador. Entre los más notorios está el cambio en su página de inicio o buscador..
Por otro lado, el comportamiento de este programa de hecho está mucho más allá «mostrando anuncios no deseados». La revisión de la muestra muestra que recoge demasiada información del sistema, que en combinación con el embalaje y la evasión de detección hace que parezca sospechoso. La actividad general de Packunwan puede comprometer la privacidad y la inyección de malware..
Análisis técnico Packunwan
Como acabo de decir, mientras analiza muestras de malware Packunwan, He visto muchas acciones cuestionables.. En particular, Recopila demasiada información sobre el sistema.. No es suficiente llamarlo software espía., pero aún más de lo que consideraría aceptable. También, su red es completamente extraña, rozando lo que esperarías de malware cuentagotas. Aunque no todas las muestras fueron así, había un patrón de comportamiento consistente.
Lanzamiento & Descubrimiento del sistema
Tras la ejecución, la muestra revisada de Packunwan Comprueba la configuración de ubicación de la computadora sin ninguna razón obvia.. Este es el comportamiento estándar de un malware., pero no un «actualizador de controlador». Para hacer esto, consulta el registro para valores específicos relacionados con las configuraciones del código de país.
Después de eso, el programa comienza a recopilar información del sistema. Al verificar la selección de entradas del registro y consultar las funciones del sistema, recupera la lista de software instalado, Información del sistema operativo y controladores del sistema.. Este último es necesario para la funcionalidad del «actualizador de controlador», pero también puede ser útil para descubrir si el sistema es una máquina virtual.
Un truco antianálisis del que estoy seguro es verificar la información del disco a través de la consulta de registro.. El malware comprueba las claves de registro SCSI, que descubren si se trata de un espacio en disco virtual creado por un entorno sandbox o una máquina virtual. La tecnología SCSI no es compatible actualmente, y es poco probable que un geek que intenta jugar con hardware geriátrico utilice aplicaciones cuestionables.
HKLM\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_MSFT&PROD_VIRTUAL_DVD-ROM\2&1F4ADFFE&0&000001
HKLM\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000
Persistencia y evasión de detección
PUA:Win32/Packunwan utiliza varias técnicas de ofuscación para evitar la detección. Como su nombre lo indica, sus archivos están empaquetados, es decir,. comprimido y cifrado. La muestra que revisé datos cifrados usando RC4 PRGA. Además, intenta ocultarse creando archivos en directorios de usuarios con extensiones que no coinciden con el tipo de archivo. Al mismo tiempo disfraza la carga útil como parte del «actualizador de controlador» archivos.
Por la perseverancia, el programa crea servicios de Windows y agrega entradas a las claves de ejecución del registro/carpetas de inicio. Si bien es un paso bastante extendido, sigue siendo eficaz, especialmente en sistemas mal protegidos. Packunwan tampoco le permite cancelar el inicio desde la interfaz – una práctica común entre los programas no deseados.
Comunicaciones de red
He mencionado que Packunwan suele distinguirse por su actividad de networking.. Aunque, No todas las muestras tenían tantas cosas extrañas sucediendo en el fondo como en la que eché un vistazo más profundo.. Durante un corto período de tiempo, realiza el acceso consiguiente al servidor remoto. Puedes ver el ejemplo de uno de estos mensajes a continuación.:
Bastante seguro, Los actualizadores de controladores deberían obtener los controladores que están a punto de instalar en algún lugar.. Pero hasta donde yo sé, ni siquiera un solo programa crea tanto caos en los registros de redes. Es un mal diseño de software, o el intento de ocultar algo mezclándolo en este lío.
Cómo eliminar aplicaciones no deseadas:Win32/Packunwan
Necesitará una herramienta antimalware para eliminar PUA:Win32/Packunwan. Recomiendo GridinSoft Anti-Malware – será la solución óptima en tal caso. Deberías ejecutar un análisis completo, ya sea una PUA de adware o un cuentagotas. Puede que tarde un poco más, pero garantizará una limpieza más efectiva.
