Nume:TR/Dldr.Tibs.hh
Descoperit pe data de:16/08/2006
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:7.985 Bytes
MD5:df8c2d130B62917f21bb64d05af187b8
Versiune VDF:6.35.01.100
Versiune IVDF:6.35.01.101

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Symantec: Trojan.Galapoper.A
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.hh


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\kernels8.exe




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://uniq-soft.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://uniq-soft.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq2.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://uniq-soft.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq5.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://uniq-soft.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq6.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://uniq-soft.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq7.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://uniq-soft.com/pic/**********
In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.



Incearca se execute urmatorul fisier:

– Numele fisierului:
   • %SYSDIR%\netsh.exe
cu urmatorii parametri: firewall set allowedprogram %fisier executat% enable

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe



Urmatoarea cheie din registri este modificata:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Noua valoare:
   • DisableTaskMgr = 1

 Backdoor Servere contactate:
Urmatoarele:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

Astfel se pot transmite informatii si se poate obtine control la distanta. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • UPX

Descripción insertada por Andrei Gherman el jueves 17 de agosto de 2006
Descripción actualizada por Andrei Gherman el jueves 17 de agosto de 2006

Volver . . . .