Description complète

Nom:	TR/Dldr.Tibs.hh
La date de la découverte:	16/08/2006
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	7.985 Octets
Somme de contrôle MD5:	df8c2d130B62917f21bb64d05af187b8
Version VDF:	6.35.01.100
Version IVDF:	6.35.01.101

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Symantec: Trojan.Galapoper.A
   • Kaspersky: Trojan-Downloader.Win32.Tibs.hh

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\kernels8.exe

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq2.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq5.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq6.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq7.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\netsh.exe
Il exécute le fichier avec les paramètres suivantes : firewall set allowedprogram %le fichier exécuté% enable

Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe

La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr = 1

Porte dérobée Serveur de contact:
Tous les suivants:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Andrei Gherman le jeudi 17 août 2006
Description mise à jour par Andrei Gherman le jeudi 17 août 2006

Retour . . . .