Según bitdefender blog se incluye un malware en la versión modificada instaladores para programas conocidos, como KMSPICO, winrar ... Una vez instalado en una computadora, Redirector.Paco modifica su configuración de Internet para usar un servidor proxy web especificado por los atacantes en un archivo PAC (Proxy auto-config).
La cadena de infección maliciosa comienza con un archivo MSI modificado. Los archivos de instalación suelen pertenecer a programas benignos conocidos como "WinRAR 5.2 msi", "WinRAR 5.11", "YouTube Downloader 1.0.1", "WinRAR 5.11 Final", "" Connectify 1.0.1 "," Stardock Start8 1.0.1 ", " KMSPico 9.3.3 ". Los archivos de instalación se modifican utilizando el Instalador avanzado 1 . [3]
Cómo funciona
El objetivo del malware es redirigir todo el tráfico realizado al usar un motor de búsqueda popular (como Google, Yahoo o Bing) y reemplazar los resultados con otros obtenidos de una búsqueda personalizada de Google. El objetivo es ayudar a los ciberdelincuentes a ganar dinero con el programa AdSense.
El programa AdSense for Search de Google coloca anuncios relevantes para el contexto en las páginas de resultados de búsqueda del Motor de búsqueda personalizado y comparte una parte de sus ingresos publicitarios con los socios de AdSense.
Para redirigir el tráfico, el malware realiza algunos ajustes de registro simples. Modifica los valores de "AutoConfigURL" y "AutoConfigProxy" de la clave de registro "Configuración de Internet" para que, para cada solicitud que realice un usuario, se consulte un archivo PAC (Proxy auto-config). Este archivo le dice al navegador que redirija el tráfico a una dirección diferente.
El malware intenta que los resultados de la búsqueda parezcan auténticos. Sin embargo, hay algunos marcadores que normalmente levantarían sospechas.
En la barra de estado del navegador, pueden aparecer mensajes como "Esperando túnel de proxy" o "Descargando script de proxy". En segundo lugar, la página de Google tarda demasiado en cargarse. Además, el malware no muestra los típicos caracteres "o" amarillos sobre los números de página.
Descargue minitoolbox y ejecútelo.
Marque las siguientes casillas de verificación:
Flush DNS
Informe de configuración de proxy de IE
Restablecer la configuración del proxy de IE
Informar de la configuración del proxy FF
Restablecer la configuración del proxy FF
Contenido de la lista de hosts
Lista de configuración de IP
Listar entradas de Winsock
Listar los últimos 10 registros del Visor de eventos
Lista de programas instalados
Lista de usuarios, particiones y tamaño de memoria.
Haga clic en Ir y publique el resultado (Result.txt). Se guardará una copia de Result.txt en el mismo directorio en el que se ejecuta la herramienta.
Para reparar su sistema, descargue AdwCleaner y escanee su PC en busca de malware.