Nome del virus:TR/Dldr.Tibs.hh
Scoperto:16/08/2006
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:7.985 Byte
Somma di controllo MD5:df8c2d130B62917f21bb64d05af187b8
Versione VDF:6.35.01.100
Versione IVDF:6.35.01.101

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Trojan.Galapoper.A
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.hh


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Si copia alla seguente posizione:
   • %SYSDIR%\kernels8.exe




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://uniq-soft.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://uniq-soft.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq2.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://uniq-soft.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq5.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://uniq-soft.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq6.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://uniq-soft.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq7.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://uniq-soft.com/pic/**********
Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.



Prova ad eseguire il seguente file:

– Nome del file:
   • %SYSDIR%\netsh.exe
utilizzando i seguenti parametri: firewall set allowedprogram %file eseguiti% enable

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe



Viene cambiata la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuovo valore:
   • DisableTaskMgr = 1

 Backdoor Contatta il server:
Tutti i seguenti:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su giovedì 17 agosto 2006
Descrizione aggiornata da Andrei Gherman su giovedì 17 agosto 2006

Indietro . . . .