TR/Dldr.Tibs.C - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.Tibs.C
Entdeckt am:	25/07/2006
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Niedrig
Schadenspotenzial:	Niedrig bis mittel
Statische Datei:	Ja
Dateigröße:	7.971 Bytes
MD5 Prüfsumme:	8937c080da4312f7b49ee997f4b53185
VDF Version:	6.35.01.00 - Tue, 25 Jul 2006 15:39 (GMT+1) - Tue, 25 Jul 2006 15:39 (GMT+1)
IVDF Version:	6.35.01.00 - Tue, 25 Jul 2006 15:39 (GMT+1) - Tue, 25 Jul 2006 15:39 (GMT+1)

General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine

Aliases:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry
   • Stiehlt Informationen

Nach Aktivierung wird folgende Information angezeigt:

Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\kernels8.exe

Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\%Nummer%.dlb

– %WINDIR%\xpupdate.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %home%\Application Data\Microsoft\Internet Explorer\Desktop.htt

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq6.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.F.Gen

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq1.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.agq.4

– Die URL ist folgende:
   • http://proffy209.com/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq8.exe

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq5.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Small.agq.4

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq7.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Crypt.F.Gen

– Die URL ist folgende:
   • http://proffy209.com/pic/**********
Diese wird lokal gespeichert unter: %SYSDIR%\dlh9jkdq2.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tibs.C

– Die URL ist folgende:
   • http://proffy209.com/dl/**********
Diese wird lokal gespeichert unter: %SYSDIR%\vx.tll

– Die URL ist folgende:
   • http://download.bravesentry.com/**********
Diese wird lokal gespeichert unter: %home%\Application Data\Install.dat

Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • netsh
unter Zuhilfenahme folgender Kommandozeilen-Parameter: firewall set allowedprogram '%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%' enable

Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Die Werte der folgenden Registry keys werden gelöscht:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%Hex Werte%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Hintertür Den folgenden:
   • http://proffy209.com/adv/195/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.

Sende Informationen über:
    • CPU Typ
    • Aktueller Malware Status
    • Plattform ID
    • Information über das Windows Betriebsystem

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Kurzfassung hier.

Beschreibung erstellt von Marius T. Nicolae am Thu, 27 Jul 2006 15:03 (GMT+1)
Beschreibung geändert von Marius T. Nicolae am Tue, 01 Aug 2006 09:08 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück