Trojan-Downloader. Win32.Tibs.br

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Упакована при помощи FSG. Размер файла — 5049 байт. Размер в распакованном виде — около 45 КБ.

Инсталляция

После запуска троянец копирует себя в системный каталог Windows с именем kernels64.exe:

%System%\kernels64.exe

Затем регистрирует этот файл в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"System"="%System%\kernels64.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"SystemTools"=" %System%\kernels64.exe"

При каждой следующей загрузке Windows автоматически запустит файл-троянец.

Также троянец добавляет в реестре следующую запись, отключая тем самым «Диспетчер задач»:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=1

Деструктивная активность

После запуска троянец проверяет существование следующих файлов:

%System%\vxh8jkdq1.exe
%System%\vxh8jkdq2.exe
%System%\vxh8jkdq5.exe
%System%\vxh8jkdq6.exe
%System%\vxh8jkdq7.exe

Если какой-либо из них не существует, то из интернета загружаются несколько файлов и сохраняются во временном каталоге Windows со следующими именами:

%Temp%\1.qtdfmp
%Temp%\2.qtdfmp
%Temp%\5.qtdfmp
%Temp%\6.qtdfmp
%Temp%\7.qtdfmp

Затем скачанные файлы копируются в системный каталог Windows с именами:

%System%\vxh8jkdq1.exe
%System%\vxh8jkdq2.exe
%System%\vxh8jkdq5.exe
%System%\vxh8jkdq6.exe
%System%\vxh8jkdq7.exe

После чего запускаются на исполнение.

В случае, если какой-либо из файлов не удалось загрузить, то предпринимается повторная попытка после 1 минуты ожидания.

Загруженный файл %System%\vxh8jkdq5.exe запускается на исполнение периодически через каждые 30 минут.

Троянец имеет опцию скачивать файлы с разных URL в зависимости от того, в какой стране находится зараженный компьютер (определяется настройками системы).

На момент создания описания файлы, загружаемые с этих URL, детектировались Антивирусом Касперского как Trojan-Downloader.Win32.Tibs.ba, Trojan-Downloader.Win32.Small.cnz, Trojan-Downloader.Win32.Tibs.dl, Trojan-Downloader.Win32.Tibs.dm и not-virus:Hoax.Win32.Renos.bt.

Также у злоумышленников существует возможность заменить загружаемые файлы другими вредоносными программами путём замены объектов, на которые указывают ссылки.