Vollständige Virenbeschreibung

Name:	ADSPY/Hoax.Renos.AG
Entdeckt am:	17/02/2006
Art:	Trojan
Nebenart:	Adware
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	29.696 Bytes
MD5 Prüfsumme:	a5a84ed083f9cb0A46369c044eecab73
VDF Version:	6.33.01.03

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Mcafee: Downloader-AFH
   • Kaspersky: not-virus:Hoax.Win32.Renos.bm
   • Sophos: Troj/Spywad-AE
   • Bitdefender: Trojan.FakeAlert.SpySheriff.A

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\winstall.exe

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\notfound.wav;
      C:\Program Files\SpySheriff\removed.wav; C:\Program
      Files\SpySheriff\SpySheriff.dvm; C:\Program
      Files\SpySheriff\SpySheriff.exe; C:\Program Files\SpySheriff\Uninstall.exe

Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • otherhost.com/**********
Diese wird lokal gespeichert unter: %APPDATA%\Install.dat

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="C:\winstall.exe"
   • "pro" = "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

Der Wert des folgenden Registry keys wird gelöscht:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro

Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKCU\SOFTWARE\Install]

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\SOFTWARE\Install]
   • "Version" = dword:00000000

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 1. März 2006
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 1. März 2006

zurück . . . .