Malware: AdWare.Win32.CyberSecurity

Publicado en por
Hoy vamos a comentar acerca de este malware que está haciendo estragos, además es bastante molesto y tiene cierta dificultad para eliminarlo de nuestro sistema. Puede llegar incluso a deshabilitar el administrador de tareas.
 
Cyber Security es un nuevo escáner de malware falso. Muestran resultados de análisis de forma engañosa y con falsas alertas de seguridad para convencer al usuario que su ordenador está infectado con malware. El autor es el mismo que desarrolló TotalSecurity (Adware.Win32.TotalSecurity).
Para convencer más a los usuarios, Cyber Security también creará numerosos archivos en nuestro ordenador para que se detecten como malware cuando el programa «escanea» nuestro equipo, pero no nos permitirá eliminarlos hasta que compremos una licencia (unos 60 dólares USA). Además instala un nuevo BHO (Browser Helper Objects) en la máquina infectada.

Hay muchos sitios Web que explican cómo eliminarlo. Yo lo he conseguido arrancando en modo sólo símbolo del sistema, y eliminando desde la consola el ejecutable cs.exe. Sería conveniente revisar también el registro, en busca de claves relacionadas con Cyber Security y eliminarlas. Recordad antes hacer una copia de seguridad de vuestro registro.

Aquí os dejo algunas indicaciones, más exactas, de cómo eliminarlo manualmente:

How to remove Cyber Security manually:
Manual removal of Cyber Security is feasible if you have sufficient expertise in working with program files, system processes, .dll files and registry entries.

Las carpetas y ficheros asociados al CS que hay que borrar son:

  • %Documents and Settings%All UsersStart MenuCS
  • %Documents and Settings%All UsersStart MenuCSComputer Scan.lnk
  • %Documents and Settings%All UsersStart MenuCSCyber Security.lnk
  • %Documents and Settings%All UsersStart MenuCSHelp.lnk
  • %Documents and Settings%All UsersStart MenuCSRegistration.lnk
  • %Documents and Settings%All UsersStart MenuCSSecurity Center.lnk
  • %Documents and Settings%All UsersStart MenuCSSettings.lnk
  • %Documents and Settings%All UsersStart MenuCSUpdate.lnk
  • %AppData%MicrosoftInternet ExplorerQuick LaunchCS.lnk
  • %UserProfile%DesktopCyber Security.lnk
  • %Program Files%Common FilesCSUninstall
  • %Program Files%Common FilesCSUninstallUninstall.lnk
  • %Program Files%CS
  • %Program Files%CStsc.exe
  • %WINDOWS%system32iehelpmod.dll

Las entradas de registro relacionadas con el CS que hay que borrar son:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionuninstallCS
  • HKEY_CLASSES_ROOTCLSID{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}
  • HKEY_LOCAL_MACHINESOFTWARE5FFB10D58FFCF482208906E6A889FD56
  • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “CS”