Name:TR/Dldr.EbayBill.B
Entdeckt am:30/06/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:18.944 Bytes
MD5 Prüfsumme:c758167de38ef7453db628a24af769e1
VDF Version:6.35.00.97
IVDF Version:6.35.00.121 - Mittwoch, 5. Juli 2006
Heuristik:HEUR/Trojan.Downloader

 Allgemein Verbreitungsmethoden:
   • Email


Aliases:
   •  Symantec: Trojan.Clagger
   •  Mcafee: Downloader-AAP
   •  Kaspersky: Trojan-Downloader.Win32.Agent.ann
   •  TrendMicro: TROJ_YABE.Q


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine Dateien herunter
   • Lädt eine schädliche Dateien herunter

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\ipf.exe




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://actsmiley.co.uk/img/**********
   • http://spbfp.atlant.ru/sys/**********
   • http://dreadwolf.net/**********
   • http://dynafilmes.com.br/imagens/**********
   • http://docslv.com/gallery/bridge/**********
   • http://soloaguia.com/imagens/**********
   • http://spbfp.atlant.ru/sys/sys/**********
   • http://dynafilmes.com.br/imagens/3/**********
   • http://soloaguia.com/imagens/3/**********
   • http://leads4sales.co.uk/images/main/**********
   • http://dbspider.net/approach-som/images/**********
Diese wird lokal gespeichert unter: %SYSDIR%\drivers\winut.dat Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "IPF"="%SYSDIR%\ipf.exe"



Um die Windows XP Firewall zu umgehen werden folgende Einträge erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%"="%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%:*:Enabled:%ausgeführte Datei%"
   • "%SYSDIR%\ipf.exe"="%SYSDIR%\ipf.exe:*:Enabled:ipf"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Der Absender der Email ist folgender:
   • Ebay


Betreff:
Eine der folgenden:
   • eBay AG Rechnung vom 29.06.2006
   • eBay International AG Rechnung vom 29.06.2006
   • EBAY
   • eBay Rechnung vom 29.06.2006
   • eBay AG Rechnung vom 16.06.2006
   • eBay Rechnung vom 29 Juni 2006



Body:
Der Body der Email ist folgender:

   • Guten Tag,
     hier ist eine Zusammenfassung der Kontoaktivitaeten seit Ihrer letzten Rechnung
     
     In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung
     -------------------------------------------------------------------------------
     
     Rechnung vom 29 Juni 2006
     Abrechnungszeitraum: 1.Juni 2006 - 1.Juli 2006 PST/PDT
     Fortlaufende ID: 00-EU16762192-6 AG
     
     eBay International AG
     Helvetiastrasse 15/17
     3005 Bern
     Schweiz
     
     Schweizer MwSt-Nummer: 508 508
     EU - Umsatzsteuer-Identifikationsnummer: EU528004080
     Firmennummer: CH-035.3.536.505-4
     
     eBay-Kontonummer: E137271635627-EUR
     Rechnungsnummer: 042306-1389878143220
     
     Letzte Rechnung: |0,00
     Zahlungen und Gutschriften: |0,00
     
     Faelliger Gesamtbetrag: ||%RND_FIRST_DIGIT89,73
     
     
     Zahlungsmethode
     Sie sind fr das Lastschriftverfahren angemeldet. Der Rechnungsbetrag
     wird innerhalb der nchsten fnf bis sieben Tage von Ihrem
     Bankkonto abgebucht. (Der Abbuchungsbetrag kann von Ihrem
     Rechnungsbetrag abweichen, wenn Sie im Zeitraum zwischen der
     Rechnungserstellung und dem Abbuchungsdatum Zahlungen geleistet oder
     Gutschriften erhalten haben.)
     
     Hinweis
     Saeumnisgebuehren: Wenn Ihr eBay-Konto ueberfaellig ist faellt eine
     Saeumnisgebuehr an. Um Naeheres zu diesem Thema zu erfahren, gehen
     Sie bitte zu Rechnungen und Zahlungen.
     (http://pages.ebay.de/help/account/payfees.html)
     
     Mehr zum Thema eBay-Gebhren
     (http://pages.ebay.de/help/sell/fees.html)
     
     Mitteilungen
     
     Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder
     persoenlichen Daten (z.B. Kennwort, Kreditkarte, Kontonummer).
     _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
     
     
     Hilfreiche Links
     
     Zur Beantwortung Ihrer Fragen zu Ihrem eBay-Konto benutzen Sie bitte den folgenden Link:
     http://pages.ebay.de/help/account/selling-account-overview.html
     
     Um Ihre Mitgliedsdaten zu aktualisieren, benutzen Sie bitte den folgenden Link:
     http://cgi4.ebay.de/aw-cgi/eBayISAPI.dll?ChangeRegistrationShow
     
     Um eBay zu kontaktieren, verwenden Sie bitte den folgenden Link:
     http://pages.ebay.de/help/contact_inline/index.html
     
     
     Mit freundlichen Gruessen
     eBay International AG
     
     
     
     Zusaetzliche Mitteilungen
     Die oben aufgefhrten Leistungen beziehen sich ausschlielich auf Ihre
     Anmeldung unter www.ebay.de.


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Ebay-Rechung.pdf.zip



Die Email sieht wie folgt aus:


Die Beschreibung wurde erstellt von Andrei Ivanes am Freitag, 30. Juni 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 30. Juni 2006

zurück . . . .