VírusTR/Dldr.Tibs.C
Data em que surgiu:25/07/2006
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:7.971 Bytes
MD5 checksum:8937c080da4312f7b49ee997f4b53185
Versão VDF:6.35.01.00 - terça-feira, 25 de julho de 2006
Versão IVDF:6.35.01.00 - terça-feira, 25 de julho de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   •  VirusBuster: trojan Trojan.DL.Tibs.DQ


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos


Depois de executado é visualizada a seguinte informação:


 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\kernels8.exe



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\%número% .dlb

%WINDIR%\xpupdate.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Tibs.C

%PROGRAM FILES%\BraveSentry\BraveSentry.exe
%PROGRAM FILES%\BraveSentry\BraveSentry0.bs
%PROGRAM FILES%\BraveSentry\BraveSentry0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/SearchAssistant.H

%PROGRAM FILES%\BraveSentry\BraveSentry1.bs
%PROGRAM FILES%\BraveSentry\BraveSentry1.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/SpyTrooper.2

%PROGRAM FILES%\BraveSentry\BraveSentry2.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Bravesentry.H

%PROGRAM FILES%\BraveSentry\BraveSentry3.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/BraveSentry.A

%PROGRAM FILES%\BraveSentry\Uninstall.exe
%PROGRAM FILES%\BraveSentry\BraveSentry.lic
%WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt



Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq6.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.F.Gen


– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq1.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Small.agq.4


– A partir da seguinte localização:
   • http://proffy209.com/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq8.exe

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq5.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Small.agq.4


– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq7.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.F.Gen


– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq2.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Tibs.C


– A partir da seguinte localização:
   • http://proffy209.com/dl/**********
Encontra-se no disco rígido: %SYSDIR%\vx.tll

– A partir da seguinte localização:
   • http://download.bravesentry.com/**********
Encontra-se no disco rígido: %APPDATA%\Install.dat



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • netsh
Executa o ficheiro com um dos seguintes parâmetros: firewall set allowedprogram '%directório de execução do malware%\%ficheiro executado%' enable

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"



Os valores das seguintes chaves registo do windows são eliminados:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"



São adicionadas as seguintes chaves ao registo:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valores hex%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

 Backdoor Seguinte:
   • http://proffy209.com/adv/195/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Tipo de CPU
    • Situação actual de malware
    • Platform ID
    • Informação sobre o sistema operativo Windows

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Marius T. Nicolae em quinta-feira, 27 de julho de 2006
Descrição atualizada por Marius T. Nicolae em terça-feira, 1 de agosto de 2006

Voltar . . . .