Имя:TR/Dldr.Tibs.C
Обнаружен:25/07/2006
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:7.971 байт.
Контрольная сумма MD5:8937c080da4312f7b49ee997f4b53185
Версия VDF:6.35.01.00 - вторник, 25 июля 2006 г.
Версия IVDF:6.35.01.00 - вторник, 25 июля 2006 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   •  VirusBuster: trojan Trojan.DL.Tibs.DQ


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %SYSDIR%\kernels8.exe



Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\%Число%.dlb

%WINDIR%\xpupdate.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Tibs.C

%PROGRAM FILES%\BraveSentry\BraveSentry.exe
%PROGRAM FILES%\BraveSentry\BraveSentry0.bs
%PROGRAM FILES%\BraveSentry\BraveSentry0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/SearchAssistant.H

%PROGRAM FILES%\BraveSentry\BraveSentry1.bs
%PROGRAM FILES%\BraveSentry\BraveSentry1.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/SpyTrooper.2

%PROGRAM FILES%\BraveSentry\BraveSentry2.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Bravesentry.H

%PROGRAM FILES%\BraveSentry\BraveSentry3.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/BraveSentry.A

%PROGRAM FILES%\BraveSentry\Uninstall.exe
%PROGRAM FILES%\BraveSentry\BraveSentry.lic
%WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt



Попытка загрузки следующих файлов:

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq6.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.F.Gen


– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq1.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Small.agq.4


– Следующий URL:
   • http://proffy209.com/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq8.exe

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq5.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Small.agq.4


– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq7.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.F.Gen


– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq2.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Tibs.C


– Следующий URL:
   • http://proffy209.com/dl/**********
Сохраняется локально в: %SYSDIR%\vx.tll

– Следующий URL:
   • http://download.bravesentry.com/**********
Сохраняется локально в: %APPDATA%\Install.dat



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • netsh
с помощью следующего параметра командной строки: firewall set allowedprogram '%Рабочая папка вредоносной программы%\%выполненный файл%' enable

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"



Удаляются значения следующих ключей реестра:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"



Добавляются следующие ключи реестра:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%шестнадцатиричное значение%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

 Backdoor Следующий:
   • http://proffy209.com/adv/195/**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Тип процессора
    • Текущий malware статус.
    • ID платформы
    • Информация об операционной системе Windows

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Marius T. Nicolae в(о) четверг, 27 июля 2006 г.
Описание обновил Marius T. Nicolae в(о) вторник, 1 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.