Nom:TR/Dldr.Tibs.hh
La date de la découverte:16/08/2006
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:7.985 Octets
Somme de contrôle MD5:df8c2d130B62917f21bb64d05af187b8
Version VDF:6.35.01.100
Version IVDF:6.35.01.101

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Symantec: Trojan.Galapoper.A
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.hh


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\kernels8.exe




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq2.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq5.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq6.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq7.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://uniq-soft.com/pic/**********
Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware.



Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\netsh.exe
Il exécute le fichier avec les paramètres suivantes : firewall set allowedprogram %le fichier exécuté% enable

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe



La clé de registre suivante est changée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   La nouvelle valeur:
   • DisableTaskMgr = 1

 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

En conséquence il peut envoyer de l'information et fournir d'accès à distance. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Gherman le jeudi 17 août 2006
Description mise à jour par Andrei Gherman le jeudi 17 août 2006

Retour . . . .