TR/Dldr.Tibs.C - Trojan

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	TR/Dldr.Tibs.C
Data em que surgiu:	25/07/2006
Tipo:	Trojan
Subtipo:	Downloader
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	7.971 Bytes
MD5 checksum:	8937c080da4312f7b49ee997f4b53185
Versão VDF:	6.35.01.00
Versão IVDF:	6.35.01.00

Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows
   • Informação de roubos

Depois de executado é visualizada a seguinte informação:

Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\kernels8.exe

São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %TEMPDIR%\%número% .dlb

– %WINDIR%\xpupdate.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %home%\Application Data\Microsoft\Internet Explorer\Desktop.htt

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq6.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.F.Gen

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq1.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Small.agq.4

– A partir da seguinte localização:
   • http://proffy209.com/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq8.exe

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq5.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Small.agq.4

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq7.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Crypt.F.Gen

– A partir da seguinte localização:
   • http://proffy209.com/pic/**********
Encontra-se no disco rígido: %SYSDIR%\dlh9jkdq2.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Dldr.Tibs.C

– A partir da seguinte localização:
   • http://proffy209.com/dl/**********
Encontra-se no disco rígido: %SYSDIR%\vx.tll

– A partir da seguinte localização:
   • http://download.bravesentry.com/**********
Encontra-se no disco rígido: %home%\Application Data\Install.dat

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • netsh
Executa o ficheiro com um dos seguintes parâmetros: firewall set allowedprogram '%directório de execução do malware%\%ficheiro executado%' enable

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Os valores das seguintes chaves registo do windows são eliminados:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

São adicionadas as seguintes chaves ao registo:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valores hex%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Backdoor Seguinte:
   • http://proffy209.com/adv/195/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.

Envia informação sobre:
    • Tipo de CPU
    • Situação actual de malware
    • Platform ID
    • Informação sobre o sistema operativo Windows

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Veja aqui uma breve descrição.

Descrição adicionada por Marius T. Nicolae em Thu, 27 Jul 2006 15:03 (GMT+1)
Descrição adicionada por Marius T. Nicolae em Tue, 01 Aug 2006 09:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back