Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:ADWARE/InstallMat.D
Entdeckt am:06/11/2012
Art:Adware
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Statische Datei:Ja
Dateigröße:~ 280 000 Bytes
VDF Version:7.11.49.22 - Dienstag, 6. November 2012
IVDF Version:7.11.49.22 - Dienstag, 6. November 2012

 Allgemein ADWARE/- Adware

Zumeist unerwünschte Dateien, die Werbung einblenden. In der Regel modifiziert Adware Webseiten im Webbrowser oder öffnet zusätzliche Webseiten mit Werbung. Zudem kann Adware das Surfverhalten protokollieren und auswerten. Adware wird oftmals zusammen mit einer anderen Software installiert, etwa zur „kostenlosen“ Nutzung oder als standardmäßig aktivierte Installationsoption.

Anwender installieren die Adware-Komponenten, die Werbung auf dem System anzeigen, meist nicht bewusst.

Sollte eine Erkennung von diesen Dateien nicht gewünscht sein, kann diese Erkennung deaktiviert werden.


Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Downloader
   •  Mcafee: Generic PUP.x!bxk
   •  Avast: Skodna.Generic.AFC
   •  PCTools: Downloader.Generic
   •  Eset: Win32/InstallMate
   •  DrWeb: Adware.Downware.448
   •  Norman: W32/Suspicious_Gen4.BGZMA


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • C:\Documents and Settings\Administrator\Local
      Settings\Temp\Tsu%achtstellige zufällige
      Buchstabenkombination%
.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
.dat; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
\_Setup.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
\Setup.ico; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
\_Setupx.dll; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
\Setup.exe; %ALLUSERSPROFILE%\TSR8.tmp;
      %ALLUSERSPROFILE%\Application Data\TSR9.tmp; %ALLUSERSPROFILE%\Application
      Data\TSRA.tmp; %ALLUSERSPROFILE%\Application Data\TSRB.tmp;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setup.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.ico;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\_Setupx.dll;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.exe;
      %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\TsuDll.dll;
      C:\Documents and Settings\Administrator\Local
      Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
\x86\regsvr32.exe; C:\Documents and
      Settings\Administrator\Local Settings\Temp\%achtstellige zufällige
      Buchstabenkombination%
\x64\regsvr32.exe; %ALLUSERSPROFILE%\Application
      Data\InstallMate\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\Setup.dat;
      C:\Documents and Settings\Administrator\Local Settings\Temp\sample.log




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %ALLUSERSPROFILE%\Application Data\Premium\Agent\Agent.exe

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {F46AD279-DAAF-44D1-9E83-6D44907CAA50}]
   • "UninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q0"
   • "QuietUninstallString"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /remove /q"
   • "ModifyPath"="C:\DOCUME~1\\ALLUSE~1\\APPLIC~1\\INSTAL~1\\{F46AD~1\\Setup.exe /q0"
   • "Version"=dword:01000000
   • "VersionMajor"=dword:00000001
   • "VersionMinor"=dword:00000000
   • "EstimatedSize"=dword:000000e4
   • "Language"=dword:00000409
   • "TSAware"=dword:00000001
   • "TinFolder"="C:\Documents and Settings\\All Users\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}"
   • "TinVersion"="7022"
   • "InstallDate"="20121204"
   • "InstallLocation"=" %ALLUSERSPROFILE%\\Application Data\\Premium\\Agent"
   • "InstallSource"="C:\%Verzeichnis in dem die Malware ausgeführt wurde%"
   • "DisplayIcon"=" %ALLUSERSPROFILE%\\Application Data\\InstallMate\\{F46AD279-DAAF-44D1-9E83-6D44907CAA50}\\Setup.ico"
   • "DisplayName"="Agent"
   • "DisplayVersion"="1.0"
   • "Publisher"="Premium"
   • "TizPath"="C:\%Verzeichnis in dem die Malware ausgeführt wurde% \\%Malware-Datei%"
   • "CategoryName"="Bflix"

Die Beschreibung wurde erstellt von Elias Lan am Donnerstag, 6. Dezember 2012
Die Beschreibung wurde geändert von Elias Lan am Donnerstag, 6. Dezember 2012

zurück . . . .