Descrizione completa

Nume:	TR/Dldr.Tibs.C
Descoperit pe data de:	25/07/2006
Tip:	Troian
Subtip:	Downloader
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	7.971 Bytes
MD5:	8937c080da4312f7b49ee997f4b53185
Versiune VDF:	6.35.01.00 - martedì 25 luglio 2006
Versiune IVDF:	6.35.01.00 - martedì 25 luglio 2006

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\kernels8.exe

Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\%numar%.dlb

– %WINDIR%\xpupdate.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq6.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.F.Gen

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.agq.4

– Adresa este urmatoarea:
   • http://proffy209.com/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq8.exe

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq5.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.agq.4

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq7.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.F.Gen

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq2.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tibs.C

– Adresa este urmatoarea:
   • http://proffy209.com/dl/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\vx.tll

– Adresa este urmatoarea:
   • http://download.bravesentry.com/**********
Fisierul este stocat pe hard disc la: %APPDATA%\Install.dat

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • netsh
cu urmatorii parametri: firewall set allowedprogram '%directorul de activare malware%\%fisier executat%' enable

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Valorile urmatoarelor chei sunt sterse din registrii sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valori hex%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Backdoor    • http://proffy209.com/adv/195/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

Trimte informatii despre:
    • tipul procesorului
    • Statusul actual al malware-ului
    • ID-ul platformei
    • Informatii despre sistemul de operare

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descrizione inserita da Marius T. Nicolae su giovedì 27 luglio 2006
Descrizione aggiornata da Marius T. Nicolae su martedì 1 agosto 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti