Полное описание

Имя:	TR/Dldr.Tibs.C
Обнаружен:	25/07/2006
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Да
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	7.971 байт.
Контрольная сумма MD5:	8937c080da4312f7b49ee997f4b53185
Версия VDF:	6.35.01.00 - вторник, 25 июля 2006 г.
Версия IVDF:	6.35.01.00 - вторник, 25 июля 2006 г.

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Kaspersky: Trojan-Downloader.Win32.Tibs.gc
   • VirusBuster: trojan Trojan.DL.Tibs.DQ

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию

После запуска выдается следующая информация:

Файлы Создается собственная копия:
   • %SYSDIR%\kernels8.exe

Создаются следующие файлы:

– Файл предназначен для временного использования и может быть удален.
   • %TEMPDIR%\%Число%.dlb

– %WINDIR%\xpupdate.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Tibs.C

– %PROGRAM FILES%\BraveSentry\BraveSentry.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry0.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry0.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/SearchAssistant.H

– %PROGRAM FILES%\BraveSentry\BraveSentry1.bs
– %PROGRAM FILES%\BraveSentry\BraveSentry1.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/SpyTrooper.2

– %PROGRAM FILES%\BraveSentry\BraveSentry2.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Bravesentry.H

– %PROGRAM FILES%\BraveSentry\BraveSentry3.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: ADSPY/BraveSentry.A

– %PROGRAM FILES%\BraveSentry\Uninstall.exe
– %PROGRAM FILES%\BraveSentry\BraveSentry.lic
– %WINDIR%\desktop.html
– %APPDATA%\Microsoft\Internet Explorer\Desktop.htt

Попытка загрузки следующих файлов:

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq6.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.F.Gen

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq1.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Small.agq.4

– Следующий URL:
   • http://proffy209.com/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq8.exe

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq5.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Small.agq.4

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq7.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Crypt.F.Gen

– Следующий URL:
   • http://proffy209.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq2.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Dldr.Tibs.C

– Следующий URL:
   • http://proffy209.com/dl/**********
Сохраняется локально в: %SYSDIR%\vx.tll

– Следующий URL:
   • http://download.bravesentry.com/**********
Сохраняется локально в: %APPDATA%\Install.dat

Попытка запустить на выполнение следующий файл:

– Имя файла:
   • netsh
с помощью следующего параметра командной строки: firewall set allowedprogram '%Рабочая папка вредоносной программы%\%выполненный файл%' enable

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "System"="%SYSDIR%\kernels8.exe"
   • "Windows update loader"="%WINDIR%\xpupdate.exe"

Удаляются значения следующих ключей реестра:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "AutoConfigURL"
   • "ProxyOverride"
   • "ProxyServer"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "con"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "NoDesktop"

Добавляются следующие ключи реестра:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   • "DisableTaskMgr"=dword:00000001
   • "Wallpaper"="%WINDIR%\desktop.html"

– HKLM\Software\Microsoft\DownloadManager
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   • "ForceActiveDesktopOn"=dword:00000001
   • "ClassicShell"=dword:00000000
   • "NoActiveDesktop"=dword:00000000

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
   • "GeneralFlags"=dword:00000000
   • "Settings"=dword:00000001
   • "DeskHtmlMinorVersion"=dword:00000005
   • "DeskHtmlVersion"=dword:00000110

– HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0
   • "RestoredStateInfo"=" hex values"
   • "OriginalStateInfo"="hex values"
   • "CurrentState"=dword:40000004
   • "Position"="hex values"
   • "Flags"=dword:00000002
   • "FriendlyName"="My Current Home Page"
   • "SubscribedURL"="About:Home"
   • "Source"="About:Home"

– HKCU\Control Panel\Desktop
   • "Pattern"=""
   • "WallpaperStyle"="2"
   • "TileWallpaper"="0"

– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop
– HKLM\SOFTWARE\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperLocalFileTime"="hex values"
   • "WallpaperFileTime"="hex values"

– HKCU\Software\Microsoft\Internet Explorer\Desktop\General
   • "WallpaperFileTime"=%шестнадцатиричное значение%
   • "ComponentsPositioned"=dword:00000002
   • "TileWallpaper"="0"
   • "WallpaperStyle"="2"

– HKCU\SOFTWARE\Install
– HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop
   • "NoHTMLWallPaper"=dword:00000000
   • "NoEditingComponents"=dword:00000000
   • "NoDeletingComponents"=dword:00000000
   • "NoAddingComponents"=dword:00000000
   • NoComponents"=dword:00000000
   • "NoChangingWallpaper"=dword:00000000

Backdoor Следующий:
   • http://proffy209.com/adv/195/**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.

Передает информацию о:
    • Тип процессора
    • Текущий malware статус.
    • ID платформы
    • Информация об операционной системе Windows

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Marius T. Nicolae в(о) четверг, 27 июля 2006 г.
Описание обновил Marius T. Nicolae в(о) вторник, 1 августа 2006 г.

Назад . . . .

Популярная защита для домашних ПК

Бесплатные продукты

Наиболее популярные продукты

Все продукты

Пакетные решения

Рабочие станции

Server

Пакетные решения

Почтовые шлюзы

Сетевые шлюзы

Коллективные платформы

Для дома

Для бизнеса

Вирусная лаборатория

Дополнительная поддержка

Стать партнером Avira

Для дома

Для бизнеса

Хотите просто оценить продукт?

Руководства и инструменты