TR/Dldr.Tibs.C - Trojan

In alte limbi

Scurta descriere

Descriere completa

Statistici

Nume:	TR/Dldr.Tibs.C
Descoperit pe data de:	25/07/2006
Tip:	Troian
Subtip:	Downloader
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Scazut spre mediu
Fisier static:	Da
Marime:	7.971 Bytes
MD5:	8937c080da4312f7b49ee997f4b53185
Versiune VDF:	6.35.01.00
Versiune IVDF:	6.35.01.00

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri
   • Sustrage informatii

Imediat dupa lansarea in executie, pe ecran este afisat:

Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\kernels8.exe

Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %TEMPDIR%\%numar%.dlb

– %WINDIR%\xpupdate.exe Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %home%\Application Data\Microsoft\Internet Explorer\Desktop.htt

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq6.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.F.Gen

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq1.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.agq.4

– Adresa este urmatoarea:
   • http://proffy209.com/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq8.exe

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq5.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Small.agq.4

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq7.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Crypt.F.Gen

– Adresa este urmatoarea:
   • http://proffy209.com/pic/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\dlh9jkdq2.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Dldr.Tibs.C

– Adresa este urmatoarea:
   • http://proffy209.com/dl/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\vx.tll

– Adresa este urmatoarea:
   • http://download.bravesentry.com/**********
Fisierul este stocat pe hard disc la: %home%\Application Data\Install.dat

Incearca se execute urmatorul fisier:

– Numele fisierului:
   • netsh
cu urmatorii parametri: firewall set allowedprogram '%directorul de activare malware%\%fisier executat%' enable

Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Valorile urmatoarelor chei sunt sterse din registrii sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Urmatoarele chei sunt adaugate in registrii sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%valori hex%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Backdoor    • http://proffy209.com/adv/195/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.

Trimte informatii despre:
    • tipul procesorului
    • Statusul actual al malware-ului
    • ID-ul platformei
    • Informatii despre sistemul de operare

Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Pentru o descriere scurta click aici.

Descriere introdusa de Marius T. Nicolae la Thu, 27 Jul 2006 15:03 (GMT+1)
Descriere actualizata de Marius T. Nicolae la Tue, 01 Aug 2006 09:08 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back