Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:ADSPY/Hoax.Renos.AG
Entdeckt am:17/02/2006
Art:Trojan
Nebenart:Adware
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:29.696 Bytes
MD5 Prüfsumme:a5a84ed083f9cb0A46369c044eecab73
VDF Version:6.33.01.03

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.bm
   •  Sophos: Troj/Spywad-AE
   •  Bitdefender: Trojan.FakeAlert.SpySheriff.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • C:\winstall.exe



Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • C:\Program Files\SpySheriff\base.avd; C:\Program
      Files\SpySheriff\base001.avd; C:\Program Files\SpySheriff\base002.avd;
      C:\Program Files\SpySheriff\found.wav; C:\Program
      Files\SpySheriff\heur000.dll; C:\Program Files\SpySheriff\heur001.dll;
      C:\Program Files\SpySheriff\heur002.dll; C:\Program
      Files\SpySheriff\heur003.dll; C:\Program Files\SpySheriff\notfound.wav;
      C:\Program Files\SpySheriff\removed.wav; C:\Program
      Files\SpySheriff\SpySheriff.dvm; C:\Program
      Files\SpySheriff\SpySheriff.exe; C:\Program Files\SpySheriff\Uninstall.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • otherhost.com/**********
Diese wird lokal gespeichert unter: %APPDATA%\Install.dat

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows installer"="C:\winstall.exe"
   • "pro" = "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"



Der Wert des folgenden Registry keys wird gelöscht:

–  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • pro



Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • [HKCU\SOFTWARE\Install]



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\SOFTWARE\Install]
   • "Version" = dword:00000000

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Mittwoch, 1. März 2006
Die Beschreibung wurde geändert von Daniel Constantin am Mittwoch, 1. März 2006

zurück . . . .