Nom:TR/Dldr.Tibs.C
La date de la découverte:25/07/2006
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:7.971 Octets
Somme de contrôle MD5:8937c080da4312f7b49ee997f4b53185
Version VDF:6.35.01.00 - mardi 25 juillet 2006
Version IVDF:6.35.01.00 - mardi 25 juillet 2006

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   •  VirusBuster: trojan Trojan.DL.Tibs.DQ


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\kernels8.exe



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\%nombre%.dlb

%WINDIR%\xpupdate.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Tibs.C

%PROGRAM FILES%\BraveSentry\BraveSentry.exe
%PROGRAM FILES%\BraveSentry\BraveSentry0.bs
%PROGRAM FILES%\BraveSentry\BraveSentry0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/SearchAssistant.H

%PROGRAM FILES%\BraveSentry\BraveSentry1.bs
%PROGRAM FILES%\BraveSentry\BraveSentry1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/SpyTrooper.2

%PROGRAM FILES%\BraveSentry\BraveSentry2.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Bravesentry.H

%PROGRAM FILES%\BraveSentry\BraveSentry3.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/BraveSentry.A

%PROGRAM FILES%\BraveSentry\Uninstall.exe
%PROGRAM FILES%\BraveSentry\BraveSentry.lic
%WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt



Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq6.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.F.Gen


– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.agq.4


– L'emplacement est le suivant:
   • http://proffy209.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq8.exe

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq5.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.agq.4


– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq7.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.F.Gen


– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq2.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Tibs.C


– L'emplacement est le suivant:
   • http://proffy209.com/dl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\vx.tll

– L'emplacement est le suivant:
   • http://download.bravesentry.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %APPDATA%\Install.dat



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • netsh
Il exécute le fichier avec les paramètres suivantes : firewall set allowedprogram '%le dossier d'exécution du malware%\%le fichier exécuté%' enable

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"



Les valeurs des clés de registre suivantes sont supprimées:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"



Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valeurs hexa%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

 Porte dérobée Le suivant:
   • http://proffy209.com/adv/195/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Type de CPU
    • Le statut courant du malware
    • L'ID de la plateforme
    • Information sur le système d'exploitation Windows

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Marius T. Nicolae le jeudi 27 juillet 2006
Description mise à jour par Marius T. Nicolae le mardi 1 août 2006

Retour . . . .