PUA:Win32/Presenoker

PUA:Win32/Presenoker es un software publicitario diseñado para ganar dinero mostrando anuncios intrusivos y recopilando datos. Este malware puede tomar el control de su navegador web y enviarle a páginas publicitarias.. La mayoría de ellos serán cuestionables., sin siquiera un mínimo matiz de relevancia.

A menudo se disfraza de software crackeado legítimo., buscador de conductores, o drogadicto. Este malware también puede robar cierta información..

PUA:Descripción general de Win32/Presenoker

PUA:Win32/Presenoker es software publicitario diseñado para generar ingresos a través de anuncios intrusivos. Además de la publicidad maliciosa, puede robar usuarios’ datos, incluido el historial de búsqueda, galletas, y otra información sensible. A pesar de Recopila información básica del sistema., solo se trata de tomar huellas dactilares del sistema; no toca contraseñas ni tokens de sesión. Casi todas las instancias de este malware están conectadas a sitios web que redirigen a los usuarios a páginas publicitarias.. Si bien algunas páginas que anuncia son legítimas, otros son cuestionables, degradar significativamente la experiencia del usuario.

PUA:Captura de pantalla de la ventana de detección de Win32/Presenoker — PUA:Ventana de detección de Win32/Presenoker

PUA:Win32/Presenoker a menudo se propaga bajo la apariencia de software legítimo crackeado, engañar a los usuarios e infiltrarse en sus dispositivos sin su consentimiento. El malware también se hace pasar por un buscador o modificador de controladores de portátiles.. Sin embargo, casi cualquier cosa descargada que no sea de un sitio web oficial puede provocar una infección de Presenoker.

Análisis técnico Presenoker

Analicemos su comportamiento según la PUA.:Win32/Presenoker análisis de muestras. Como dije anteriormente, El malware se infiltra en el sistema bajo la apariencia de software legítimo.. En nuestro caso, Es una herramienta gratuita de investigación del kernel de Windows..

Una vez en el sistema, el malware busca persistencia. para hacerlo, realiza acciones estándar: crea archivos de controlador, agrega entradas de registro apropiadas, y obtiene los permisos necesarios. Entre estas últimas está la posibilidad de modificar el kernel para ejecutar programas al iniciar el sistema..

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\bajejyicthbeby.sys HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\bhrzxcfdwsfytp.sys HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\boalxrinybzftbduk.sys

El malware creó múltiples entradas de registro para cada archivo para garantizar que sus controladores y servicios se cargaran en «Modo seguro mínimo», un modo de diagnóstico de Windows con sólo funciones esenciales.

Comunicación C2

Presenoker toma múltiples solicitudes HTTP realizadas a varias URL, incluyendo xttp://ww1.epoolsoft[.]com y xttp://www.epoolsoft[.]com, sugiriendo comunicación con un comando y control (C2) servidor. Se establecen conexiones TCP a varias direcciones IP en los puertos 80 y 443, indicando posible comunicación con servidores externos.

TCP 63.143.32.86:80 TCP 64.190.63.136:80 UDP a83f:8110:0:0:6076:c7a:e801:0:53

Probablemente el malware reciba publicidad a través de algunos canales. (abrir algunas de estas direcciones redirige a los sitios web anunciados).

Publicidad maliciosa

Como dije antes, El objetivo principal de este malware es la publicidad.. Generalmente, Estos anuncios a menudo promueven estafas en línea., software poco confiable o peligroso, y malware. Cuando se hace clic en, algunos anuncios pueden ejecutar scripts para instalar o descargar software sin el consentimiento del usuario.

Captura de pantalla del sitio web promocionado

Un sitio web promocionado al que epoolsoft.com redirige.

En casos raros, Los usuarios verán lo que parece un sitio web legítimo de búsqueda en Internet como Yahoo o Bing., pero con resultados cambiados. Las URL siguientes son los sitios intermediarios que aparecen en la barra de URL durante esta redirección.. Parece que recopilan información sobre las consultas de búsqueda y Dios sabe qué más..

http://www.epoolsoft.com/PCHunter_StandardV1.56=DE8D8650A2322F6FBD61DC24EA6CE9703EDC1C1ABBA4523E236D3DE26CFD2B49C08503DEEA5AEDF515739967BDA959FD http://ww1.epoolsoft.com/?sub1=39aa0efd-0311-11ef-af09-729c7805264a http://www.epoolsoft.com/pchunter/pchunter_free

Este sitio web contiene enlaces que, cuando se hace clic en, te redirigirá usando adsensecustomsearchads[.]com

Evasión de defensa

El malware puede utilizar IsDebuggerPresent y SetWindowsHookExW para evadir la detección y emplear técnicas de gancho. El archivo PE tiene una sección (no .texto) que es muy probable que contenga código comprimido utilizando una relación de compresión zlib inferior a 0.011. También busca depuradores., incluidos nombres de ventanas y hardware/firmware exclusivos, y puede detectar máquinas virtuales. Además, puede utilizar bucles evasivos para obstaculizar el análisis dinámico y comprobar si el proceso actual está bajo depuración.

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion

Como dice el nombre, estas claves contienen información del BIOS. Son datos suficientes para comprender si el sistema es una máquina virtual o algún otro entorno modificado..

Cómo quitar Presenoker?

Para eliminar aplicaciones no deseadas:Win32/Presenoker necesita utilizar una potente solución antimalware. GridinSoft Anti-Malware será una excelente opción para limpiar su sistema de software no deseado. además de la limpieza, esta solución evitará futuras infecciones en su dispositivo.