¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:ADSPY/IEHlpr.F.2
Descubierto:05/10/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:30.208 Bytes
Suma de control MD5:4242246b3403cfc7809fd4604967953d
Versión del VDF:6.35.01.196
Versión del IVDF:6.35.01.200 - viernes, 8 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Agent.atg


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\fonts\msshapi.dll



Crea los siguientes ficheros:

%WINDIR%\Fonts\winhelp.ini Este fichero contiene los datos recolectados acerca del sistema.
%WINDIR%\Fonts\mms.exe Además, el fichero es ejecutado después de haber sido creado.

 Registro Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]


Añade las siguientes claves al registro:

– [HKCR\IEHelper.WinHelper]
   • @="internet explorer helper"

– [HKCR\IEHelper.WinHelper\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

– [HKCR\IEHelper.WinHelper\CurVer]
   • @="IEHelper.WinHelper.1"

– [HKCR\IEHelper.WinHelper.1]
   • @="internet explorer helper"

– [HKCR\IEHelper.WinHelper.1\CLSID]
   • @="{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}]
   • @="internet explorer helper"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\InprocServer32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\ProgID]
   • @="IEHelper.WinHelper.1"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\Programmable]
– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"

– [HKCR\CLSID\{02C9B9AB-6372-46C5-B356-773FAF3B6B1E}\
   VersionIndependentProgID]
   • @="IEHelper.WinHelper"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0]
   • @="IEHelper 1.0 Type Library"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\0\win32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}\1.0\HELPDIR]
   • @="%directorio donde se ejecuta el programa viral%"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}]
   • @="IWinHelper"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{D922591D-7893-412B-B801-C3B2F31BE4C9}\TypeLib]
   • @="{964DDEFF-B16C-4113-8FF7-8E83B53C8ED8}"
   • "Version"="1.0"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www.update.coolv.cn/advertise/**********
   • http://www.update.coolv.cn/files/**********
   • http://www.update.coolv.cn/**********

Una vez contectado, extraerá una lista suplementaria.


Envía informaciones acerca de:
    • Nombre del ordenador
    • Velocidad del procesador
    • Usuario actual
    • Espacio libre en el disco
    • Memoria disponible
    • Tamaño de la memoria
    • Hora del sistema
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Visitar un sitio web

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el jueves, 5 de octubre de 2006
Descripción actualizada por Andrei Ivanes el viernes, 27 de octubre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.