Vollständige Virenbeschreibung

Name:	TR/Dldr.Tibs.C
Entdeckt am:	25/07/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	7.971 Bytes
MD5 Prüfsumme:	8937c080da4312f7b49ee997f4b53185
VDF Version:	6.35.01.00 - Dienstag, 25. Juli 2006
IVDF Version:	6.35.01.00 - Dienstag, 25. Juli 2006

Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\kernels8.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\%Nummer%.dlb

– %WINDIR%\xpupdate.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq6.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.F.Gen

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.agq.4

– Die URL ist folgende:
   • http://proffy209.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq8.exe

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq5.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.agq.4

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq7.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.F.Gen

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq2.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tibs.C

– Die URL ist folgende:
   • http://proffy209.com/dl/**********
Diese wird lokal gespeichert unter: %SYSDIR%\vx.tll

– Die URL ist folgende:
   • http://download.bravesentry.com/**********
Diese wird lokal gespeichert unter: %APPDATA%\Install.dat

Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • netsh
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall set allowedprogram '%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%' enable

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%Hex Werte%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Hintertür Den folgenden:
   • http://proffy209.com/adv/195/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • CPU Typ
    • Aktueller Malware Status
    • Plattform ID
    • Information über das Windows Betriebsystem

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Marius T. Nicolae am Donnerstag, 27. Juli 2006
Die Beschreibung wurde geändert von Marius T. Nicolae am Dienstag, 1. August 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools