Trojan-Downloader.Win32. Tibser.a

Троянская программа. Является библиотекой Windows (DLL-файл). Имеет размер 39688 байт. Упакована с помощью UPX. Распакованный размер — около 70 КБ. Написана на С++.

Инсталляция

Данная библиотека инсталлируется в систему при помощи других троянских программ. При этом создаются следующие ключи реестра:

[HKCR\TIBSLoaderAXDLL.TIBSLoader.4]
[HKCR\TIBSLoaderAXDLL.TIBSLoader]
[HKCR\CLSID\{C1C2AC28-5E4B-4228-B7A0-05E986FFCE14}]
[HKCR\TypeLib\{C4855F24-2FEE-4253-AF26-24D539508AB1}]
[HKCR\Interface\{DB767162-0D30-4181-9ED6-8019F6452FFF}]

Деструктивная активность

Троянец извлекает из своих ресурсов файл и помещает его во временную папку Windows с именем вида:

%Temp%\tibs<произвольный набор символов>

Данный файл детектируется Антивирусом Касперского как not-a-virus:Porn-Downloader.Win32.TibSystems.

После этого происходит запуск данного файла на исполнение.

Далее троянец выполняет следующие действия:

* создает ключ реестра, в котором хранит свои настройки [HKCU\Software\WebSiteViewer\Settings]

* собирает информацию о версии установленной операционной системы и системного языка;

* отправляет собранную информацию на сайт злоумышленника:

      http://www.dialer****n.com/cgi-bin/err3.....

Другие названия

Trojan-Downloader.Win32.Tibser.a («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Tibser.a («Лаборатория Касперского»), Dialer.Tibs (Doctor Web), TrojanDownloader:Win32/Tibser.A (RAV), TROJ_TIBSER.A (Trend Micro), TR/Dldr.Tibser.A (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Tibser.A (Grisoft), Trojan.Downloader.Tibser.A (SOFTWIN), Trojan.Downloader.Small-92 (ClamAV), Dialer.MZ (Panda), Win32/TrojanDownloader.Tibser.A (Eset)