Vollständige Virenbeschreibung

Name:	DR/MyWebSearch.AU
Entdeckt am:	04/03/2008
Art:	Dropper
In freier Wildbahn:	Nein
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig
Statische Datei:	Ja
Dateigröße:	5.115.904 Bytes
MD5 Prüfsumme:	45a84b7590b49b5828d608fa06dff781
IVDF Version:	7.00.02.226 - Dienstag, 4. März 2008

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Alias:
   • Kaspersky: not-a-virus:AdTool.Win32.MyWebSearch.au

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Änderung an der Registry

Dateien Es wird folgendes Verzeichnis erstellt:
   • %PROGRAM FILES%\MyWebSearch\bar\

Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %PROGRAM FILES%\MyWebSearch\bar\1.bin\F3BKGERR.JPG; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3CJPEG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3DTACTL.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HISTSW.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HTMLMU.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3HTTPCT.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3IMSTUB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3POPSWT.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3PSSAVR.SCR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3REPROX.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3RESTUB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SCHMON.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SCRCTR.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3SPACER.WMV; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\F3WALLPP.DAT; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\FWPBUDDY.PNG; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3FFXTBR.JAR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3HIGHIN.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3HTML.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3IMPIPE.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3MEDINT.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3MSG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3NTSTBR.JAR; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3OUTLCN.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SKPLAY.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SLRCH.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\M3SRCHMN.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSOEPLG.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSOESTB.DLL; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\MWSSVC.EXE; %PROGRAM
      FILES%\MyWebSearch\bar\1.bin\NPMYWEBS.DLL

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3NTSTBR.MANIFEST Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • content m3ntstbr jar:m3ntstbr.jar!/ xpcnativewrappers=yes
     overlay chrome://browser/content/browser.xul chrome://m3ntstbr/content/menu.xul

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3FFXTBR.MANIFEST Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • content m3ffxtbr jar:m3ffxtbr.jar!/ xpcnativewrappers=yes
     overlay chrome://browser/content/browser.xul chrome://m3ffxtbr/content/menu.xul

– %SYSDIR%\f3PSSavr.scr Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/MyWebSearch.BQ

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\F3WPHOOK.DLL Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/MyWebSearch.A.50

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3PLUGIN.DLL Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/MyWebS.A.60.C

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\M3SKIN.DLL Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/MyWebSearc.AD

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\MWSBAR.DLL Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/MyWebSearc.BA

– %PROGRAM FILES%\MyWebSearch\bar\1.bin\MWSOEMON.EXE Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/MyWebS.A.60.A

Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKLM\Software\MyWebSearch\bar]
   • Maximized="1"
   • Visible="1"
   • pid2=
   • pid="ZP"
   • fwp="0"
   • un="My Web Search (PopSwatter)"
   • tiec="204880"
   • Dir="%PROGRAM FILES%\MyWebSearch\bar\"

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\
   ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}]
   • AppName="m3impipe.exe"
   • AppPath="%PROGRAM FILES%\MyWebSearch\bar\1.bin"
   • Policy=dword:00000003

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 11. März 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 11. März 2008

zurück . . . .