Adware-600x600

Los PUPs (Programas Potencialmente no Deseados) Shell&Services y Mintcast 3.0.1 son dos variantes de Mintcast que hacen algunos cambios molestos en su sistema si usted es un usuario del navegador web Firefox. Estos cambios le exponen aún más a los peligros de internet. No es nada nuevo que Usted tendría que estar de acuerdo con estos cambios, aunque el método se merece un poco de atención.

La distribuición de estos PUPs es a traves de complementos que están disponibles para el navegador Firefox, y que generalmente se instalan sin el consentimiento del usuario, viniendo empaquetados con otro software.

En segundo plano

En el EULA de Shell &Services, encontrará referencia a hahomedia.com, donde también se puede encontrar una copia en línea de dicho EULA. La entrada se crea en la lista de programas instalados y mostrará un enlace a jserrors.info, que parece que es un portal de acceso para clientes de AdwareROI. AdwareROI se anuncia como “una plataforma adware asequible que le permite rápida y fácilmente obtener beneficios económicos de su base de usuarios“.

Que hacen

Mintcast y sus variantes son aplicaciones de adware que instalan dos servicios en el sistema y un driver. El driver llamado WinDivert es legítimo y también es utilizado por otras aplicaciones como son la captura de paquetes de red y (re)driver de inyección.

Uno de los cambios que los instaladores hacen, es que crean un archivo user.js en C:\Users\ {username}\AppData\Roaming\Mozilla\Firefox\Profiles\{profile}.default. Sólo hace esto si no hay un archivo anterior con ese nombre. En este archivo recién creado se encuentran las siguientes líneas:
• user_pref (“browser.safebrowsing.downloads.enabled”, false);
• user_pref (“browser.safebrowsing.enabled”, false);
• user_pref (“browser.safebrowsing.malware.enabled”, false);

Esto se traduce en dos opciones que estan sin marcar  que forman parte de los ajustes de safebrowsing (navegación segura) en Firefox como se muestra a continuación;

safebrowsing1

Debido a la jerarquía en la configuración, éstos permanecerán en su lugar, incluso si el usuario comprueba manualmente la configuración. Si reinicia Firefox después de volver a marcar las cajas en la comprobación manual, pero sin eliminar el archivo user.js, usted encontrará que las marcas de verificación se han ido de nuevo. La primera opción en la lista anterior, es un ajuste el seguimiento de los archivos descargados y se establece en “True” lo cual advierte al usuario en caso de que descargue un malware conocido. Lo que hace este PUP es establecer la configuracion a “False” para desactivar esa opción.

El seguimiento al malware se realiza mediante la comparación de las descargas a una lista de distribuidores de malware conocidos que Mozilla Firefox no pierde de vista.

El uso del archivo user.js no es una idea original de Mintcast. Otros programas potencialmente no deseados (PUP), como los de la familia Yontoo/BrowseFox también se han sabido que agregan un archivo user.js. Constan Fun, por ejemplo, añade la línea siguiente;

• user_pref (“xpinstall.signatures.required”, false);

-que Permitirá se instalen extensiones sin firmar.

La jerarquía

Antes se menciono la jerarquía de configuración en Firefox. Para explicar esto más elaborado, tendrá que saber cómo funciona.

Desde el KB Mozilla:
Un archivo user.js puede hacer ciertos ajustes de preferencias más o menos “permanente” en un perfil específico, ya que primero tendra que eliminar o editar el archivo user.js para quitar las entradas antes de que las preferencias se pueden cambiar en la aplicación. Esto tiene la ventaja de cerrar determinadas configuraciones de preferencia. Un archivo user.js es también una manera de documentar las personalizaciones de preferencia y que hace que sea más fácil de transferir ajustes personalizados que otro perfil. Al iniciar su aplicación de Mozilla, las preferencias válidas que haya agregado al archivo user.js se copian automáticamente en el archivo prefs.js (ubicado en la misma carpeta de perfil), donde se almacenan todas las preferencias establecidas por el usuario. Por esta razón, usted debe hacer una copia de seguridad del archivo prefs.js antes de crear o editar el archivo user.js.

Los ajustes manuales y los almacenados en el archivo prefs.js pueden ser alterados por la interacción del usuario, entonces los almacenados en user.js simplemente anulan esos. Para cambiarlos, tendrá que editar o eliminar el archivo user.js. Así que, si el usuario llega a la configuración de Firefox para re-establecer los mismos, es un buen comienzo para chequear el archivo user.js. Para una guía completa de cómo funcionan las preferencias nos gustaría señalar que lo que pueda encontrar aquí.

Eliminación

Malwarebytes Anti-Malware detecta y remueve Shell&Services y Mintcast 3.0.1 como PUP.Optional.MintCast. Esto incluye las líneas en el archivo user.js donde la rutina de limpieza establecerá las líneas dadas en “True”. La versión de pago también bloquea el acceso al dominio hahomedia.com. Las guías de eliminación de Mintcast 3.0.1 y Shell&Services se pueden encontrar en los foros de Malwarebytes.

protection1

protection2

Hay muchas más variantes de la familia Mintcast que muestran las mismas características. Se puede reconocer en los registros por el uso del driver WinDivert en las carpetas de las aplicaciones propias y el uso de la misma clave de desinstalación en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29007E8C-251B-4F61-A70E-635786233494921877}_is1.

Resumen

Los PUP Mintcast utilizan la forma en que Firefox carga sus ajustes para hacer algunos cambios que el usuario no es consciente de que se estan haciendo y que lo ponen en riesgo adicional mediante la desactivación de los ajustes de SafeBrowsing.

Tradución: Jesus

Fuente: Malwarebytes Unpacked Blog