---

Geschrieben von Yog Sototh am 08.02.2003 um 12:27:

-

_

---

Geschrieben von Tyler Durden am 08.02.2003 um 13:03:

 

ich kann dir zwar nicht wirklich weiterhelfen, aber ich hab bei google nach dem Dateinamen gesucht, und absolut nix gefunden, und ich hab in meinem Taskmanager geschaut (auch win2k sp3) und habs auch nicht gefunden, also denk ich auch, das es sich um einen Wurm handeln könnte....

---

Geschrieben von zira am 08.02.2003 um 16:16:

  winhaelp

Habe auch noch nie was davon gehört, denke aber dass Dateien un Programme die einen orthografisch ähnlichen Namen wie Windows Systemprogramme haben, meist etwas vor dem Computzernutzer zu verbergen haben....

Ich würde sowas auf keinen Fall ausführen,
sondern sofort das Suffix ändern z.B auf TXT,
und es mir mal mit einem Hex-Editor anschauen.

Wenn keinerlei Text-Teile darin sichtbar sind, es es umso verdächtiger, denn es sind dann keinerlei Meldungen, Hilfetexte, und kein Copyright Vermerk darin enthalten.

Wenn all dies zutrifft, tippe ich auf einen Virus, Wurm, Dialer,Trojaner oder Spionage-Programm.

---

Geschrieben von CDW am 08.02.2003 um 19:09:

 

Hab auch win2k mit SP3 - die datei befindet sich nicht auf meinem System, außerdem ist der Name sfchon verdächtig:
Winhae lp! - es müsste, wenn, winhelp heißen.Außerdem, so schlampig ist M$ nicht, dass da ne helproutine 85% Sysleistung frisst... ich schau mir die Datei mal an, aber besser wär es, wenn man sie disassemlieren könnte - jedoch habe ich keine Lust, ein Risko einzugehen
EDIT: ich habs mir angeschaut: es ist 99,9% ein Wurm oder Virus:
1.ists mit UPx gepackt - M$ verwendet das nie.
2. enthält es folgende APIs und aufrufe der DLLs:
KERNEL32.DLL
ADVAPI32.dll <= wichtig zum arbeiten mit Registry
MPR.dll <=k.a
MFC42.dll
MSVCRT.dll <=irgendwas, was zu MFC gehört
SHELL32.dll
USER32.dll
LoadLibraryA <= no1
GetProcAddres <= no2
ExitProcess
RegCloseKey
NetOpenEnumA <=Aufruf aus MPR.dll, k.A was
exit <=MFC aufruf
ShellExecuteA
MessageBoxA

Allem Schein nach bist du bist du das stolze Opfer eines "Anfängers" der seine ersten Viren oder Wurms schreibt
Warum? weil er sowohl winAPI wie auch MFC benutzt (und kein Virenschreiber mit etwas Selbstachtung nutzt jemals MFC ) Vor allem wie er die APIs und die Dll-funktioenen durcheinander würfelt, würde ich sagen, dass jemand mit etwas MFC erfahrung ein ferigsource umgeschrieben hat und dann mit UPX gepackt.
Belege:
exit - wird für beendigung des Prozesses benutzt,
benötigte DLL -MSVCRT.DLL
Jedoch hat er schon den direkten WIn-API-Aufruf von ExitProcess - was auf dasselbe hinausläuft (korrigiert mcih bitte, wenn ich unrecht hab - bin nicht so der MFC Fan)
Usw.

---

Geschrieben von Compuholic am 08.02.2003 um 20:39:

 

Ich habe das Teil mal disassembliert und kann CDW nur zustimmen. Das Ding ist ganz schön hartnäckig programmiert. Es läuft als Service Prozess im Hintergrund weiter, selbst wenn sich der Benutzer ausloggt.

Wenn ich den Code richtig gedeutet habe, aktualisiert dieser Prozess auch die Registrierungseinträge über die das Teil vermutlich gestartet wird. Das Programm legt übrigens sehr extensiv Registrierungsschlüssel an. Wofür die gut sind, habe ich noch nicht rausgefunden (und ausführen tue ich es bestimmt nicht)

Ob er irgendetwas beschädigt oder ausspioniert habe ich ebenfalls nicht herausgefunden (dafür ist der Code einfach zu lang). Allerdings deuten die merkwürdigen Imports die CDW auch schon erwähnt hat auf einen Wurm hin. In deinem Screenshot sehe ich, das das Programm 85% der CPU-Zeit in Anspruch nimmt. Ebenfalls sehr wahrscheinlich für einen Wurm.

Ich werde mal schauen, ob ich das Dingens mal zur Analyse bei Symantec abladen kann.

---

Geschrieben von Yog Sototh am 08.02.2003 um 22:41:

 

_

---

Geschrieben von CDW am 09.02.2003 um 16:47:

 

ich wünschte, ich hätt mir auch eine testumgebung eingerichtet,so dass ich diesen Wurm mal disassemblieren könnte.
@Compuholic: sind da jetzt imports drin von allen möglichen DLLs oder wird nur "LoadLibrary" und "GetProcAdress" benutzt? Ich kenne die beiden Aufrufe aus der Virenprogrammierung - jedoch die merkwürdige Kombination aus Win-API und MFC lässt mich zum Schlüss kommen, dass ein Source umgeschrieben/erweitert wurde.
Mal sehen was Symantec dazu meint.
@Yog Sototh: ich bin leider zu wenig über emule informiert, aber es scheint da massenweise sicherheitslöcher zu geben.Man kann aber auch "bekannte" und "freunde" in betracht ziehen.

---

Geschrieben von Compuholic am 10.02.2003 um 18:41:

 

So, Symantec hat geantwortet, es handelt sich tatsächlich um einen Virus. Leider gibt sich Symantec nicht sehr informativ, was dieser Virus bewirkt. Auch auf deren Viren-Informationsseiten läßt sich nichts in Erfajrung bringen. Der Virus scheint noch recht neu zu sein, da er erst mit dem neuesten Update erkannt wird.

Zitat:

Dear *******************, We have analyzed your submission. The following is a report of our findings for each file you have submitted: filename: C:\OllyDbg\winhaelp.exe machine: COMPUHOLIC result: This file is infected with W32.Yalat@mm Developer notes: C:\OllyDbg\winhaelp.exe is non-repairable threat. NAV with the latest beta definition detects this. Please delete this file and replace it if neccessary. Please follow the instruction at the end of this email message to install the latest beta definitions. Symantec Security Response has determined that the sample(s) that you provided are infected with a virus, worm, or Trojan. We have created beta definitions that will detect this threat. Please follow the instruction at the end of this email message to download and install the latest beta definitions. Should you have any questions about your submission, please contact your regional technical support from the Symantec website and give them the tracking number in the subject of this message.

---

Geschrieben von Yog Sototh am 14.02.2003 um 22:30:

 

_