ADSPY/SpySheriff.HP - Adware / Spyware

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	ADSPY/SpySheriff.HP
Entdeckt am:	04/07/2006
Art:	Security Privacy Risk
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	416.256 Bytes
MD5 Prüfsumme:	2aaebbbc549d14993694182ca5aaed34
VDF Version:	6.35.00.115 - Tue, 04 Jul 2006 12:24 (GMT+1)
IVDF Version:	6.35.00.141 - Mon, 10 Jul 2006 09:24 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Erstellt Dateien
   • Änderung an der Registry

Nach Aktivierung werden folgende Informationen angezeigt:

Dateien Es wird folgendes Verzeichnis erstellt:
• %home%\Start Menu\Programs\SpySheriff

– c:\SpySheriff.lnk
– %home%\Desktop\SpySheriff.lnk

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "SpySheriff"="%PROGRAM FILES%\SpySheriff\SpySheriff.exe"

Folgende Registryschlüssel werden hinzugefügt:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   Spy Sheriff
   • "UninstallString"="%PROGRAM FILES%\SpySheriff\Uninstall.exe"
   • "HelpLink"="http://www.spy-sheriff.com/"
   • "URLInfoAbout"="http://www.spy-sheriff.com/"
   • "DisplayName"="Spy Sheriff"
   • "DisplayIcon"="%PROGRAM FILES%\SpySheriff\SpySheriff.exe"

– HKCU\SOFTWARE\SpySheriff\Updates
– HKCU\SOFTWARE\SpySheriff\System Security
   • "ProtectHosts"=dword:00000000
   • "ProtectAutorun"=dword:00000000
   • "ProtectActiveDesktop"=dword:00000000

– HKCU\SOFTWARE\SpySheriff\Scan
   • "DeleteFoundThreats"=dword:00000000

– HKCU\SOFTWARE\SpySheriff\Process Security\Policies\Restricted
– HKCU\SOFTWARE\SpySheriff\Process Security\Policies
   • "Process Security"=dword:00000000
   • "Active Policy"=dword:00000000

– HKCU\SOFTWARE\SpySheriff\Process Security
– HKCU\SOFTWARE\SpySheriff\IE Security\BlockedLocations
– HKCU\SOFTWARE\SpySheriff\IE Security
   • "ProtectHomepage"=dword:00000000
   • "BlockTags"=dword:00000000
   • "BlockPopupWindows"=dword:00000000
   • "BlockLocations"=dword:00000000
   • "BlockJavascripts"=dword:00000000
   • "BlockIframeTags"=dword:00000000

– HKCU\SOFTWARE\SpySheriff
   • "Security"=%Hexadezimale Zahl%
   • "Uninstall"="%PROGRAM FILES%\SpySheriff"
   • "SecurityLevel"=dword:00000002
   • "ScheduledScanMin"=dword:00000000
   • "ScheduledScanHour"=dword:00000000
   • "ScheduledScan"=dword:00000000
   • "PlaySounds"=dword:00000001
   • "ScanOnStartup"=dword:00000001

– HKCR\.key
   • "(Default)"="regfile"

– HKCU\SOFTWARE\SpySheriff\Process Security\Policies\Allowed
   • "%PROGRAM FILES%\SpySheriff\SpySheriff.exe"=dword:00000001

– HKCU\SOFTWARE\SNO2

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
• AS Protect 1.2x

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Wed, 26 Jul 2006 10:50 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Mon, 31 Jul 2006 11:20 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück