Nume:TR/Dldr.Tibs.C
Descoperit pe data de:25/07/2006
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:7.971 Bytes
MD5:8937c080da4312f7b49ee997f4b53185
Versiune VDF:6.35.01.00 - martes 25 de julio de 2006
Versiune IVDF:6.35.01.00 - martes 25 de julio de 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   •  VirusBuster: trojan Trojan.DL.Tibs.DQ


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\kernels8.exe



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\%numar%.dlb

– %WINDIR%\xpupdate.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq6.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.F.Gen


– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.agq.4


– Adresa este urmatoarea:
   • http://proffy209.com/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq8.exe

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq5.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.agq.4


– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq7.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.F.Gen


– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq2.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tibs.C


– Adresa este urmatoarea:
   • http://proffy209.com/dl/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\vx.tll

– Adresa este urmatoarea:
   • http://download.bravesentry.com/**********
Fisierul este stocat pe hard disc la: %APPDATA%\Install.dat



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • netsh
cu urmatorii parametri: firewall set allowedprogram '%directorul de activare malware%\%fisier executat%' enable

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"



Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valori hex%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

 Backdoor    • http://proffy209.com/adv/195/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • tipul procesorului
    • Statusul actual al malware-ului
    • ID-ul platformei
    • Informatii despre sistemul de operare

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Marius T. Nicolae el jueves 27 de julio de 2006
Descripción actualizada por Marius T. Nicolae el martes 1 de agosto de 2006

Volver . . . .