TR/Dldr.Tibs.C - Trojan

Vedi anche

In breve

Descrizione completa

Statistiche

Nome del virus:	TR/Dldr.Tibs.C
Scoperto:	25/07/2006
Tipo:	Trojan
Sottotipo:	Downloader
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Basso
Potenziale di danni:	Medio-Basso
File statico:	Si
Dimensione del file:	7.971 Byte
Somma di controllo MD5:	8937c080da4312f7b49ee997f4b53185
Versione VDF:	6.35.01.00
Versione IVDF:	6.35.01.00

Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Scarica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro
   • Sottrae informazioni

Giusto dopo l'esecuzione viene visualizzata la seguente informazione:

File Si copia alla seguente posizione:
   • %SYSDIR%\kernels8.exe

Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %TEMPDIR%\%numero%.dlb

– %WINDIR%\xpupdate.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %home%\Application Data\Microsoft\Internet Explorer\Desktop.htt

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq6.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.F.Gen

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq1.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Small.agq.4

– La posizione è la seguente:
   • http://proffy209.com/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq8.exe

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq5.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Small.agq.4

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq7.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Crypt.F.Gen

– La posizione è la seguente:
   • http://proffy209.com/pic/**********
Viene salvato in locale sotto: %SYSDIR%\dlh9jkdq2.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Dldr.Tibs.C

– La posizione è la seguente:
   • http://proffy209.com/dl/**********
Viene salvato in locale sotto: %SYSDIR%\vx.tll

– La posizione è la seguente:
   • http://download.bravesentry.com/**********
Viene salvato in locale sotto: %home%\Application Data\Install.dat

Prova ad eseguire il seguente file:

– Nome del file:
   • netsh
utilizzando i seguenti parametri: firewall set allowedprogram '%directory di esecuzione del malware%\%file eseguiti%' enable

Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

I valori delle seguenti chiavi di registro vengono rimossi:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Vengono aggiunte le seguenti chiavi di registro:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valori esadecimali%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Backdoor Il seguente:
   • http://proffy209.com/adv/195/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.

Invia informazioni riguardanti:
    • Tipo di CPU
    • Stato corrente del malware
    • ID della piattaforma
    • Informazioni sul sistema operativo Windows

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Per la descrizione "in breve" clicca qui.

Descrizione inserita da Marius T. Nicolae il Thu, 27 Jul 2006 15:03 (GMT+1)
Descrizione aggiornata da Marius T. Nicolae il Tue, 01 Aug 2006 09:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Indietro