Name:TR/Dldr.Tibs.hh
Entdeckt am:16/08/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:7.985 Bytes
MD5 Prüfsumme:df8c2d130B62917f21bb64d05af187b8
VDF Version:6.35.01.100
IVDF Version:6.35.01.101

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Symantec: Trojan.Galapoper.A
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.hh


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\kernels8.exe




Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://uniq-soft.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://uniq-soft.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq2.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://uniq-soft.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq5.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://uniq-soft.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq6.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://uniq-soft.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq7.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

– Die URL ist folgende:
   • http://uniq-soft.com/pic/**********
Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.



Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %SYSDIR%\netsh.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall set allowedprogram %ausgeführte Datei% enable

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe



Folgender Registryschlüssel wird geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Neuer Wert:
   • DisableTaskMgr = 1

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

Hierdurch können Informationen gesendet und Hintertürfunktionen bereitgestellt werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Gherman am Donnerstag, 17. August 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 17. August 2006

zurück . . . .