TR/Dldr.Tibs.C - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.Tibs.C
La date de la découverte:	25/07/2006
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	7.971 Octets
Somme de contrôle MD5:	8937c080da4312f7b49ee997f4b53185
Version VDF:	6.35.01.00
Version IVDF:	6.35.01.00

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres
   • Il vole de l'information

Immédiatement après l'exécution l'information suivante est affichée:

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\kernels8.exe

Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %TEMPDIR%\%nombre%.dlb

– %WINDIR%\xpupdate.exe Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %home%\Application Data\Microsoft\Internet Explorer\Desktop.htt

Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq6.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.F.Gen

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq1.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.agq.4

– L'emplacement est le suivant:
   • http://proffy209.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq8.exe

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq5.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Small.agq.4

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq7.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Crypt.F.Gen

– L'emplacement est le suivant:
   • http://proffy209.com/pic/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\dlh9jkdq2.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Dldr.Tibs.C

– L'emplacement est le suivant:
   • http://proffy209.com/dl/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\vx.tll

– L'emplacement est le suivant:
   • http://download.bravesentry.com/**********
Il est sauvegardé sur le disque dur local à l'emplacement: %home%\Application Data\Install.dat

Il essaie d’exécuter le fichier suivant :

– Nom de fichier: Noms des fichiers:
   • netsh
Il exécute le fichier avec les paramètres suivantes : firewall set allowedprogram '%le dossier d'exécution du malware%\%le fichier exécuté%' enable

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Les valeurs des clés de registre suivantes sont supprimées:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Les clés de registre suivantes sont ajoutée:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valeurs hexa%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Porte dérobée Le suivant:
   • http://proffy209.com/adv/195/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.

Il envoie de l'information au sujet de:
    • Type de CPU
    • Le statut courant du malware
    • L'ID de la plateforme
    • Information sur le système d'exploitation Windows

Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Voir la description brève ici.

Description inséré par Marius T. Nicolae sur Thu, 27 Jul 2006 15:03 (GMT+1)
Description mise à jour par Marius T. Nicolae sur Tue, 01 Aug 2006 09:08 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour