Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:ADSPY/IEHlpr.F.2
Entdeckt am:05/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:30.208 Bytes
MD5 Prüfsumme:4242246b3403cfc7809fd4604967953d
VDF Version:6.35.01.196
IVDF Version:6.35.01.200 - Freitag, 8. September 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Agent.atg


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\fonts\msshapi.dll



Es werden folgende Dateien erstellt:

%WINDIR%\Fonts\winhelp.ini Diese Datei enthält gesammelte Informationen über das System.
%WINDIR%\Fonts\mms.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde.

 Registry Es wird ein browser helper object (BHO) registriert indem folgender key hinzugefügt wird:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]


Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\IEHelper.WinHelper]
   • @="internet explorer helper"

– [HKCR\IEHelper.WinHelper\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

– [HKCR\IEHelper.WinHelper\CurVer]
   • @="IEHelper.WinHelper.1"

– [HKCR\IEHelper.WinHelper.1]
   • @="internet explorer helper"

– [HKCR\IEHelper.WinHelper.1\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]
   • @="internet explorer helper"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\InprocServer32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\ProgID]
   • @="IEHelper.WinHelper.1"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\Programmable]
– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\
   VersionIndependentProgID]
   • @="IEHelper.WinHelper"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0]
   • @="IEHelper 1.0 Type Library"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\0\win32]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\HELPDIR]
   • @="%Verzeichnis in dem die Malware ausgeführt wurde%"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}]
   • @="IWinHelper"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"
   • "Version"="1.0"

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://www.update.coolv.cn/advertise/**********
   • http://www.update.coolv.cn/files/**********
   • http://www.update.coolv.cn/**********

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.


Sende Informationen über:
    • Computername
    • Prozessorgeschwindigkeit
    • Aktueller Benutzer
    • Freier Festplattenplatz
    • Freier Hauptspeicher
    • Größe des Speichers
    • Systemzeit
    • Information über das Windows Betriebsystem


Möglichkeiten der Fernkontrolle:
    • Besuch einer Webseite

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Donnerstag, 5. Oktober 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 27. Oktober 2006

zurück . . . .