Имя:TR/Dldr.Tibs.hh
Обнаружен:16/08/2006
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:7.985 байт.
Контрольная сумма MD5:df8c2d130B62917f21bb64d05af187b8
Версия VDF:6.35.01.100
Версия IVDF:6.35.01.101

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Псевдонимы (аliases):
   •  Symantec: Trojan.Galapoper.A
   •  Kaspersky: Trojan-Downloader.Win32.Tibs.hh


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создается собственная копия:
   • %SYSDIR%\kernels8.exe




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://uniq-soft.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq1.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://uniq-soft.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq2.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://uniq-soft.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq5.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://uniq-soft.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq6.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://uniq-soft.com/pic/**********
Сохраняется локально в: %SYSDIR%\dlh9jkdq7.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://uniq-soft.com/pic/**********
Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.



Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %SYSDIR%\netsh.exe
с помощью следующего параметра командной строки: firewall set allowedprogram %выполненный файл% enable

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • System = %SYSDIR%\kernels8.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • SystemTools = %SYSDIR%\kernels8.exe



Изменяется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Новое значение:
   • DisableTaskMgr = 1

 Backdoor Устанавливает соединение с сервером
Все последующие:
   • http://uniq-soft.com/adv/053/**********
   • http://uniq-soft.com/**********
   • http://uniq-soft.com/dl/**********

В результате может быть обеспечена пересылка информации и работа функции скрытого удаленного управления. Это происходит с помощью HTTP GET запроса PHP скрипта.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • UPX

Описание добавил Andrei Gherman в(о) четверг, 17 августа 2006 г.
Описание обновил Andrei Gherman в(о) четверг, 17 августа 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.