Nome del virus:TR/Dldr.Tibs.C
Scoperto:25/07/2006
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:7.971 Byte
Somma di controllo MD5:8937c080da4312f7b49ee997f4b53185
Versione VDF:6.35.01.00 - martedì 25 luglio 2006
Versione IVDF:6.35.01.00 - martedì 25 luglio 2006

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   •  VirusBuster: trojan Trojan.DL.Tibs.DQ


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • %SYSDIR%\kernels8.exe



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\%numero%.dlb

%WINDIR%\xpupdate.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Tibs.C

%PROGRAM FILES%\BraveSentry\BraveSentry.exe
%PROGRAM FILES%\BraveSentry\BraveSentry0.bs
%PROGRAM FILES%\BraveSentry\BraveSentry0.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/SearchAssistant.H

%PROGRAM FILES%\BraveSentry\BraveSentry1.bs
%PROGRAM FILES%\BraveSentry\BraveSentry1.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/SpyTrooper.2

%PROGRAM FILES%\BraveSentry\BraveSentry2.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Bravesentry.H

%PROGRAM FILES%\BraveSentry\BraveSentry3.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/BraveSentry.A

%PROGRAM FILES%\BraveSentry\Uninstall.exe
%PROGRAM FILES%\BraveSentry\BraveSentry.lic
%WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt



Prova a scaricare dei file:

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq6.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.F.Gen


– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Small.agq.4


– La posizione è la seguente:
   • http://proffy209.com/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq8.exe

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq5.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Small.agq.4


– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq7.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.F.Gen


– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq2.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Tibs.C


– La posizione è la seguente:
   • http://proffy209.com/dl/**********
Viene salvato in locale sotto: %SYSDIR%\vx.tll

– La posizione è la seguente:
   • http://download.bravesentry.com/**********
Viene salvato in locale sotto: %APPDATA%\Install.dat



Prova ad eseguire il seguente file:

– Nome del file:
   • netsh
utilizzando i seguenti parametri: firewall set allowedprogram '%directory di esecuzione del malware%\%file eseguiti%' enable

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"



I valori delle seguenti chiavi di registro vengono rimossi:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"



Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valori esadecimali%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

 Backdoor Il seguente:
   • http://proffy209.com/adv/195/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Tipo di CPU
    • Stato corrente del malware
    • ID della piattaforma
    • Informazioni sul sistema operativo Windows

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Marius T. Nicolae su giovedì 27 luglio 2006
Descrizione aggiornata da Marius T. Nicolae su martedì 1 agosto 2006

Indietro . . . .