Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:ADSPY/IEHlpr.F.2
Entdeckt am:05/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigre:30.208 Bytes
MD5 Prfsumme:4242246b3403cfc7809fd4604967953d
VDF Version:6.35.01.196
IVDF Version:6.35.01.200 - Freitag, 8. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Agent.atg


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\fonts\msshapi.dll



Es werden folgende Dateien erstellt:

%WINDIR%\Fonts\winhelp.ini Diese Datei enthlt gesammelte Informationen ber das System.
%WINDIR%\Fonts\mms.exe Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde.

 Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefgt wird:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]


Folgende Registryschlssel werden hinzugefgt:

[HKCR\IEHelper.WinHelper]
   • @="internet explorer helper"

[HKCR\IEHelper.WinHelper\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

[HKCR\IEHelper.WinHelper\CurVer]
   • @="IEHelper.WinHelper.1"

[HKCR\IEHelper.WinHelper.1]
   • @="internet explorer helper"

[HKCR\IEHelper.WinHelper.1\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]
   • @="internet explorer helper"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%"
   • "ThreadingModel"="Apartment"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\ProgID]
   • @="IEHelper.WinHelper.1"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\Programmable]
[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\
   VersionIndependentProgID]
   • @="IEHelper.WinHelper"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0]
   • @="IEHelper 1.0 Type Library"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\0\win32]
   • @="%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\FLAGS]
   • @="0"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\HELPDIR]
   • @="%Verzeichnis in dem die Malware ausgefhrt wurde%"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}]
   • @="IWinHelper"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"
   • "Version"="1.0"

 Hintertr Kontaktiert Server:
Alle der folgenden:
   • http://www.update.coolv.cn/advertise/**********
   • http://www.update.coolv.cn/files/**********
   • http://www.update.coolv.cn/**********

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.


Sende Informationen ber:
    • Computername
     Prozessorgeschwindigkeit
     Aktueller Benutzer
     Freier Festplattenplatz
     Freier Hauptspeicher
     Gre des Speichers
     Systemzeit
     Information ber das Windows Betriebsystem


Mglichkeiten der Fernkontrolle:
     Besuch einer Webseite

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 5. Oktober 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 27. Oktober 2006

zurück . . . .