 - |
Tyler Durden 
Junior Member
Dabei seit: 15.01.2002
Beiträge: 109
 |
|
ich kann dir zwar nicht wirklich weiterhelfen, aber ich hab bei google nach dem Dateinamen gesucht, und absolut nix gefunden, und ich hab in meinem Taskmanager geschaut (auch win2k sp3) und habs auch nicht gefunden, also denk ich auch, das es sich um einen Wurm handeln könnte....
__________________
Wir sind der singende, tanzende Abschaum der Welt!
Erst wenn wir alles verloren haben, haben wir die Freiheit alles zu tun!
|
|
08.02.2003 13:03 |
|
|
zira
Senior Member
Dabei seit: 07.11.2002
Beiträge: 348
|
|
| winhaelp |
|
Habe auch noch nie was davon gehört, denke aber dass Dateien un Programme die einen orthografisch ähnlichen Namen wie Windows Systemprogramme haben, meist etwas vor dem Computzernutzer zu verbergen haben....
Ich würde sowas auf keinen Fall ausführen,
sondern sofort das Suffix ändern z.B auf TXT,
und es mir mal mit einem Hex-Editor anschauen.
Wenn keinerlei Text-Teile darin sichtbar sind, es es umso verdächtiger, denn es sind dann keinerlei Meldungen, Hilfetexte, und kein Copyright Vermerk darin enthalten.
Wenn all dies zutrifft, tippe ich auf einen Virus, Wurm, Dialer,Trojaner oder Spionage-Programm.
|
|
|
08.02.2003 16:16 |
|
|
CDW
eine Simulation
Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread
|
|
Hab auch win2k mit SP3 - die datei befindet sich nicht auf meinem System, außerdem ist der Name sfchon verdächtig:
Winhae lp! - es müsste, wenn, winhelp heißen.Außerdem, so schlampig ist M$ nicht, dass da ne helproutine 85% Sysleistung frisst... ich schau mir die Datei mal an, aber besser wär es, wenn man sie disassemlieren könnte - jedoch habe ich keine Lust, ein Risko einzugehen 
EDIT: ich habs mir angeschaut: es ist 99,9% ein Wurm oder Virus:
1.ists mit UPx gepackt - M$ verwendet das nie.
2. enthält es folgende APIs und aufrufe der DLLs:
KERNEL32.DLL
ADVAPI32.dll <= wichtig zum arbeiten mit Registry
MPR.dll <=k.a
MFC42.dll
MSVCRT.dll <=irgendwas, was zu MFC gehört
SHELL32.dll
USER32.dll
LoadLibraryA <= no1
GetProcAddres <= no2
ExitProcess
RegCloseKey
NetOpenEnumA <=Aufruf aus MPR.dll, k.A was
exit <=MFC aufruf
ShellExecuteA
MessageBoxA
Allem Schein nach bist du bist du das stolze Opfer eines "Anfängers" der seine ersten Viren oder Wurms schreibt 
Warum? weil er sowohl winAPI wie auch MFC benutzt (und kein Virenschreiber mit etwas Selbstachtung nutzt jemals MFC
) Vor allem wie er die APIs und die Dll-funktioenen durcheinander würfelt, würde ich sagen, dass jemand mit etwas MFC erfahrung ein ferigsource umgeschrieben hat und dann mit UPX gepackt.
Belege:
exit - wird für beendigung des Prozesses benutzt,
benötigte DLL -MSVCRT.DLL
Jedoch hat er schon den direkten WIn-API-Aufruf von ExitProcess - was auf dasselbe hinausläuft (korrigiert mcih bitte, wenn ich unrecht hab - bin nicht so der MFC Fan)
Usw.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von CDW: 08.02.2003 19:24.
|
|
|
08.02.2003 19:09 |
|
|
Compuholic
knows where he wants to go tomorrow
Dabei seit: 19.10.2002
Beiträge: 819
Herkunft: München
|
|
Ich habe das Teil mal disassembliert und kann CDW nur zustimmen. Das Ding ist ganz schön hartnäckig programmiert. Es läuft als Service Prozess im Hintergrund weiter, selbst wenn sich der Benutzer ausloggt.
Wenn ich den Code richtig gedeutet habe, aktualisiert dieser Prozess auch die Registrierungseinträge über die das Teil vermutlich gestartet wird. Das Programm legt übrigens sehr extensiv Registrierungsschlüssel an. Wofür die gut sind, habe ich noch nicht rausgefunden (und ausführen tue ich es bestimmt nicht)
Ob er irgendetwas beschädigt oder ausspioniert habe ich ebenfalls nicht herausgefunden (dafür ist der Code einfach zu lang). Allerdings deuten die merkwürdigen Imports die CDW auch schon erwähnt hat auf einen Wurm hin. In deinem Screenshot sehe ich, das das Programm 85% der CPU-Zeit in Anspruch nimmt. Ebenfalls sehr wahrscheinlich für einen Wurm.
Ich werde mal schauen, ob ich das Dingens mal zur Analyse bei Symantec abladen kann.
|
|
|
08.02.2003 20:39 |
|
|
CDW
eine Simulation
Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread
|
|
ich wünschte, ich hätt mir auch eine testumgebung eingerichtet,so dass ich diesen Wurm mal disassemblieren könnte.
@Compuholic: sind da jetzt imports drin von allen möglichen DLLs oder wird nur "LoadLibrary" und "GetProcAdress" benutzt? Ich kenne die beiden Aufrufe aus der Virenprogrammierung - jedoch die merkwürdige Kombination aus Win-API und MFC lässt mich zum Schlüss kommen, dass ein Source umgeschrieben/erweitert wurde.
Mal sehen was Symantec dazu meint.
@Yog Sototh: ich bin leider zu wenig über emule informiert, aber es scheint da massenweise sicherheitslöcher zu geben.Man kann aber auch "bekannte" und "freunde" in betracht ziehen.
|
|
|
09.02.2003 16:47 |
|
|
Compuholic
knows where he wants to go tomorrow
Dabei seit: 19.10.2002
Beiträge: 819
Herkunft: München
|
|
| |
|
So, Symantec hat geantwortet, es handelt sich tatsächlich um einen Virus. Leider gibt sich Symantec nicht sehr informativ, was dieser Virus bewirkt. Auch auf deren Viren-Informationsseiten läßt sich nichts in Erfajrung bringen. Der Virus scheint noch recht neu zu sein, da er erst mit dem neuesten Update erkannt wird.
| Zitat: |
Dear *******************,
We have analyzed your submission. The following is a report of our
findings for each file you have submitted:
filename: C:\OllyDbg\winhaelp.exe
machine: COMPUHOLIC
result: This file is infected with W32.Yalat@mm
Developer notes:
C:\OllyDbg\winhaelp.exe is non-repairable threat. NAV with the latest beta definition detects this. Please delete this file and replace it if neccessary. Please follow the instruction at the end of this email message to install the latest beta definitions.
Symantec Security Response has determined that the sample(s) that you provided are infected with a virus, worm, or Trojan. We have created beta definitions that will detect this threat. Please follow the instruction at the end of this email message to download and install the latest beta definitions.
Should you have any questions about your submission, please contact
your regional technical support from the Symantec website and give them
the tracking number in the subject of this message.
|
|
|
|
10.02.2003 18:41 |
|
|
|
-