Clase: Adware
Adware cubre programas diseñados para mostrar anuncios (generalmente en forma de pancartas), redirige las solicitudes de búsqueda a sitios web publicitarios y recopila datos de tipo marketing sobre el usuario (por ejemplo, qué tipos de sitios web visita) para mostrar publicidad personalizada en el ordenador. Además de mostrar anuncios y recopilar datos, estos tipos de programas generalmente no hacen que su presencia en el sistema sea conocida: no habrá señales del programa en la bandeja del sistema, y no habrá ninguna indicación en el menú del programa de que los archivos se hayan instalado. A menudo, los programas Adware no tienen ningún procedimiento de desinstalación y usan tecnologías que limitan con la tecnología de virus para ayudar al programa a penetrar sigilosamente en la computadora y pasar desapercibido. Penetración Hay dos formas principales en que Adware ingresa a la computadora de un usuario: está incorporada en algunos programas freeware y shareware de instalación no autorizada en la computadora de un usuario como resultado de una visita a un sitio web infectado. La mayoría de los programas freeware y shareware dejan de mostrar anuncios una vez que se han comprado y / o registrado. Pero estos programas a menudo usan utilidades incorporadas de Adware de terceros y, en algunos casos, estas utilidades permanecen instaladas en la computadora del usuario incluso una vez que se han registrado los programas. Además, la eliminación del componente Adware, que todavía está siendo utilizado por un programa para mostrar anuncios, podría causar un mal funcionamiento del programa. El principal objetivo de propagación de Adware a través del primer método es extraer un tipo de pago para el software mostrando anuncios al usuario (las partes que hacen los anuncios pagan a la agencia de publicidad, y la agencia de publicidad paga al desarrollador de Adware). Adware también ayuda a reducir los gastos para los desarrolladores de software (los ingresos de Adware los alienta a escribir nuevos programas y mejorar los ya existentes) y ayuda a reducir los costos para los usuarios también. Las tecnologías de hackers a menudo se usan cuando los componentes publicitarios se instalan en la computadora de un usuario después de visitar un sitio web infectado. Por ejemplo, se puede penetrar la computadora a través de una vulnerabilidad de navegador y se pueden usar troyanos diseñados para su instalación sigilosa (Trojan-Downloader o Trojan-Dropper). Los programas publicitarios que funcionan de esta manera a menudo se denominan secuestradores del navegador. Mostrar anuncios Hay dos formas principales en que se muestra la publicidad al usuario: mediante la descarga de texto e imágenes publicitarias a una computadora desde servidores web o FTP propiedad del anunciante que redirigen las solicitudes de búsqueda del navegador de Internet a sitios web publicitarios. En algunos casos, las solicitudes de redireccionamiento solo se realizan si la página web solicitada del usuario no está disponible, es decir, si hay un error en la URL. Recopilación de datos Además de mostrar anuncios, muchos sistemas publicitarios también recopilan datos sobre la computadora y el usuario, tales como: la dirección IP de la computadora, el sistema operativo y la versión del navegador una lista de los sitios más visitados, consultas de búsqueda, otros datos que pueden usarse para llevar a cabo campañas publicitarias posteriores. Nota: es importante no confundir el Adware que recopila datos con programas espía de troyanos. La diferencia es que Adware recopila datos con el consentimiento del usuario. Si Adware no notifica al usuario que está recopilando información, entonces se clasifica como un programa malicioso (Malware), específicamente cubierto por el comportamiento Trojan-Spy.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Familia: AdWare.Win32.Shopper
No family descriptionExamples
1081381954DBD605104C96A74DB7135095E581A412A3C12FEB43C8C1C472A21C
949E2C6B91E13240CA5432FBFBA84C16
694B8647505C07EE683C3D707F823176
28EB879D652EB7ABED5A5950383E2720
Tactics and Techniques: Mitre*
TA0005
Defense Evasion
The adversary is trying to avoid being detected.
Defense Evasion consists of techniques that adversaries use to avoid detection throughout their compromise. Techniques used for defense evasion include uninstalling/disabling security software or obfuscating/encrypting data and scripts. Adversaries also leverage and abuse trusted processes to hide and masquerade their malware. Other tactics’ techniques are cross-listed here when those techniques include the added benefit of subverting defenses.
Defense Evasion consists of techniques that adversaries use to avoid detection throughout their compromise. Techniques used for defense evasion include uninstalling/disabling security software or obfuscating/encrypting data and scripts. Adversaries also leverage and abuse trusted processes to hide and masquerade their malware. Other tactics’ techniques are cross-listed here when those techniques include the added benefit of subverting defenses.
T1070.006
Indicator Removal: Timestomp
Adversaries may modify file time attributes to hide new or changes to existing files. Timestomping is a technique that modifies the timestamps of a file (the modify, access, create, and change times), often to mimic files that are in the same folder. This is done, for example, on files that have been modified or created by the adversary so that they do not appear conspicuous to forensic investigators or file analysis tools.
Timestomping may be used along with file name Masquerading to hide malware and tools.(Citation: WindowsIR Anti-Forensic Techniques)
Timestomping may be used along with file name Masquerading to hide malware and tools.(Citation: WindowsIR Anti-Forensic Techniques)
* © 2026 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.