Advanced Window Manager é um software potencialmente indesejado que inunda o sistema do usuário com anúncios. Pretende ser uma ferramenta que adiciona novas funcionalidades ao Windows, mas na verdade redireciona as consultas de pesquisa, rastreia a atividade do usuário na Internet e mostra anúncios. As formas típicas de distribuição deste programa são agrupamento de software e malvertising.
Visão geral avançada do gerenciador de janelas
Gerenciador de janelas avançado é um programa indesejado semelhante a adware. Apesar de se posicionar como um utilitário útil, sua principal tarefa é bombardear o usuário com anúncios. Ao mesmo tempo, o programa geralmente anuncia coisas fraudulentas ou maliciosas, colocando o usuário em sério risco. Clicar nas promoções mostradas por este Gerenciador de Janelas pode redirecionar o usuário para um site nocivo que baixa inadvertidamente outro software potencialmente indesejado.
Outra característica não declarada é coletar informações sobre a atividade de um usuário na Internet. Esses dados incluem consultas de pesquisa, URLs inseridos, dados geográficos, e Endereços IP, que será então vendido a terceiros. O Advanced Window Manager geralmente é distribuído como software complementar em pacotes de outros programas. Como o software não é muito furtivo, o usuário pode ver o processo (ou vários) no Gerenciador de Tarefas.
Análise detalhada
Vamos analisar como o Advanced Window Manager se comporta no sistema para entender sua verdadeira natureza. Chega através do instalador, que precede o programa original, e faz algumas verificações básicas do sistema. Durante a instalação, o software indesejado extrai os seguintes arquivos para uma pasta temporária no sistema:
C:\Users\Admin/AppData\Local\Temp\7zS4E1438CD\setup_install.exe
C:\Users\Admin/AppData\Local\Temp\7zS4E1438CD\libcurlpp.dll.
C:\Users/Admin/AppData/Local/Temp/7zS4E1438CD/libstdc++-6.dll.
C:\Users\Admin/AppData\Local\Temp\7zS4E1438CD\libcurl.dll.
Também redefine alguns arquivos, Incluindo:
%WINDIR%\Microsoft.NET\Framework\v4.0.30319\clr.dll
%WINDIR%\System32\rundll32.exe.
C:\Users\
C:\Users\
Instalação
Uma vez instalado, Gerenciador de janelas avançado (amostra no VirusTotal) começa a executar sua tarefa principal – inundando o sistema do usuário com anúncios. Ele verifica o seguinte valor de registro, que é responsável por regionalizar o sistema para instalar mais “relevante” programas.
\REGISTRY\USER\S-1-5-21-1346565761-3498240568-4147300184-1000\Control Panel\International\Geo\Nation
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IMM\Ime File
\Registry\Machine\Software\Policies\Microsoft\System\DNSclient
Depois daquela pequena verificação, o malware se conecta ao seu servidor de comando. No meu caso, uma das solicitações que se seguiram à conexão original instalou um programa indesejado chamado Ultra Media Burner. Provavelmente depende dos resultados da verificação de geolocalização acima mencionada.
GET http://limesfile.com
GET http://limesfile.com/Ea42LhC7KVL6GEpzgxwW/C_Net_8Rpjkd5GEqRYJq87/UltraMediaBurner.exe
GET http://estrix.xyz/addInstallImpression.php?key=125478824515ADNxu2ccbwe&ip=&oid=139
Verificações Adicionais & Persistência
Sendo uma amostra bastante regular de adware, O Advanced Window Manager executa uma série de verificações do sistema para determinar a localização do sistema. Verificando os valores de várias chaves de registro, o malware obtém as informações de rede. É improvável que tenha algum tipo de cerca geográfica, portanto, esses dados são necessários principalmente para direcionar os anúncios corretamente.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dnscache\InterfaceSpecificParameters\
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig
Depois disso, o programa malicioso edita outro conjunto de chaves de registro relacionadas aos serviços e drivers do Windows. É aqui que ele ganha persistência adicionando os valores que irão associar seus arquivos a alguns dos drivers/serviços do sistema.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpKsl9a97d018\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpKslcbc6775c\Parameters
Anúncio, Redirecionamentos de pesquisa e sequestro de navegador
Depois de todos os preparativos, Advanced Window Manager começa a agir como adware ou sequestrador de navegador. O cenário mais comum após a instalação deste tipo de software é o sequestro de navegador. PUA altera a página inicial e o mecanismo de pesquisa para aquele que anuncia (geralmente Bing ou Yahoo). Também é comum ver um mecanismo sem nome like Chromstera como a página inicial/mecanismo de pesquisa. Nesse caso, todas as consultas passam pelo serviço acima, e a mudança forçada do mecanismo de pesquisa é efetiva até a primeira reinicialização do navegador.
Além de resultados de pesquisa irrelevantes, adware preenche páginas com anúncios e pop-ups, o que torna muito difícil o uso. O terceiro aspecto de um sequestrador de navegador está coletando telemetria sobre o usuário. Embora esse software normalmente não roube senhas ou outras informações confidenciais, ele redireciona todas as consultas de pesquisa através do seu servidor, coletando assim análises gerais sobre o usuário.
Como remover o gerenciador de janelas avançado?
Para remover o Gerenciador de janelas avançado, você deve usar uma ferramenta anti-malware avançada. GridinSoft Anti-Malware é uma ótima opção. Execute uma verificação completa, espere que termine, e siga as instruções.
Você também pode precisar redefinir seus navegadores da web. Para fazer isso, abra a guia Ferramentas e selecione Redefinir configurações do navegador. Além disso, Eu recomendo que você habilite o módulo de segurança da Internet, que protege contra ameaças da Internet. Para fazer isso, vá para a guia Proteger e ative a caixa de seleção Segurança da Internet.
