Full description

Vírus	TR/Dldr.Tibs.hh
Data em que surgiu:	16/08/2006
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	7.985 Bytes
MD5 checksum:	df8c2d130B62917f21bb64d05af187b8
Versão VDF:	6.35.01.100
Versão IVDF:	6.35.01.101

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Symantec: Trojan.Galapoper.A
   • Kaspersky: Trojan-Downloader.Win32.Tibs.hh

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\kernels8.exe

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://uniq-soft.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq1.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://uniq-soft.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq2.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://uniq-soft.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq5.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://uniq-soft.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq6.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://uniq-soft.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq7.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://uniq-soft.com/pic/**********
Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware.

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\netsh.exe
Executa o ficheiro com um dos seguintes parâmetros: firewall set allowedprogram %ficheiro executado% enable

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe

O seguinte valor do registo é alterado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor recente:
   • DisableTaskMgr = 1

Backdoor Contacta o servidor:
Seguintes:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

Como resultado pode enviar informação poderiam e dar capacidade de controlo remoto. Isto é feito usando o método HTTP GET através de scripts PHP.

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• UPX

Descrição enviada por Andrei Gherman em quinta-feira, 17 de agosto de 2006
Descrição atualizada por Andrei Gherman em quinta-feira, 17 de agosto de 2006

Voltar . . . .