¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:ADSPY/IEHlpr.F.2
Descubierto:05/10/2006
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:30.208 Bytes
Suma de control MD5:4242246b3403cfc7809fd4604967953d
Versin del VDF:6.35.01.196
Versin del IVDF:6.35.01.200 - viernes 8 de septiembre de 2006

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Agent.atg


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %WINDIR%\fonts\msshapi.dll



Crea los siguientes ficheros:

%WINDIR%\Fonts\winhelp.ini Este fichero contiene los datos recolectados acerca del sistema.
%WINDIR%\Fonts\mms.exe Adems, el fichero es ejecutado despus de haber sido creado.

 Registro Registra un objeto BHO (browser helper object), aadiendo la siguiente clave al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]


Aade las siguientes claves al registro:

[HKCR\IEHelper.WinHelper]
   • @="internet explorer helper"

[HKCR\IEHelper.WinHelper\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

[HKCR\IEHelper.WinHelper\CurVer]
   • @="IEHelper.WinHelper.1"

[HKCR\IEHelper.WinHelper.1]
   • @="internet explorer helper"

[HKCR\IEHelper.WinHelper.1\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]
   • @="internet explorer helper"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\InprocServer32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"
   • "ThreadingModel"="Apartment"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\ProgID]
   • @="IEHelper.WinHelper.1"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\Programmable]
[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"

[HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\
   VersionIndependentProgID]
   • @="IEHelper.WinHelper"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0]
   • @="IEHelper 1.0 Type Library"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\0\win32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\FLAGS]
   • @="0"

[HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\HELPDIR]
   • @="%directorio donde se ejecuta el programa viral%"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}]
   • @="IWinHelper"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"
   • "Version"="1.0"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www.update.coolv.cn/advertise/**********
   • http://www.update.coolv.cn/files/**********
   • http://www.update.coolv.cn/**********

Una vez contectado, extraer una lista suplementaria.


Enva informaciones acerca de:
    • Nombre del ordenador
     Velocidad del procesador
     Usuario actual
     Espacio libre en el disco
     Memoria disponible
     Tamao de la memoria
     Hora del sistema
     Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
     Visitar un sitio web

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Monica Ghitun el jueves 5 de octubre de 2006
Descripción actualizada por Andrei Ivanes el viernes 27 de octubre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.