Name:Worm/IBill.A
Entdeckt am:16/08/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:49.152 Bytes
MD5 Prüfsumme:0E8990ec57d34a59211b4520d6afa10B
VDF Version:6.35.01.100
IVDF Version:6.35.01.101

 Allgemein Verbreitungsmethode:
   • Email


Alias:

Wurde zuvor wie folgt erkannt:
   •  TR/Dldr.IBill.A


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Verfügt über eigene Email Engine
   • Änderung an der Registry


Nach Aktivierung wird ein Windows Programm gestartet welches folgendes Fenster anzeigt:


 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\mfcapi32u.exe



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %TEMPDIR%\nam%Hexadezimale Zahl%.tmp

%TEMPDIR%\hack.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • this is the joke




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://traffall.biz/adv/053/**********
Diese wird lokal gespeichert unter: C:\autoexeck.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Dldr.Tibs.hh

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • mfcapi32u = %SYSDIR%\mfcapi32u.exe



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %Verzeichnis in dem die Malware ausgeführt
      wurde%\%ausgeführte Datei% = %Verzeichnis in dem die
      Malware ausgeführt wurde%\%ausgeführte
      Datei%:*:Enabled:%ausgeführte Datei%

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist möglich, dass er nichts über seine Infektion weiß oder sogar nicht infiziert ist. Des Weiteren ist es möglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was möglicherweise auch nicht stimmt.
Der Absender der Email ist einer der folgenden:
   • Michel Madsen
   • Nick Convers
   • Jane Hoocks
   • Fred Dowland
   • Emely Hard
   • John Heckman
   • Piter Roslen
   • Oliver Simpson
   • Patrik Roberts
   • Lorence Newman


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Design der Emails:
 


Betreff: Thank you for your purchase in Bolero!
Body:
   • Hello!
     Thank you for your purchase in our Internet-shop. We always appreciate to meet you there and would like to inform you that money was successfully transferred from your credit card to our account. Further information you can find enclosed.
     Sincerely yours, Bolero Inetshop Administration
 


Betreff: Thank you for your registration!
Body:
   • Hello!
     Thank you for your rewrite in our mail server. The confirmation of you new login and password you can find enclosed.
     Sincerely yours, Mail Administration Service / Mail Support Service
 


Betreff: Pay for your credits!
Body:
   • Hello!
     We have to remain you that your credit payment period will be expiring next week. If you will not make your payment till that time we will have to withdraw your savings from your bank account.
     All details you can find enclosed.
     USA Credit Group.
 


Betreff: It's important!!! You still have not paid a fine!
Body:
   • Hello!
     We remain you that you still have not paid a parking violation fine. You should to pay it till the next week or we will have to reach trial the deal.
     We are sending you herewith all necessary documents.
     Sincerely yours, Regional Police Department Management / Administration
 


Betreff: Tank you for your charity
Body:
   • The St. Patrick Home thanks you for your donation. We are very obliged for your assistance with our St. Patrick's Found and acknowledge the receipt of your transfer for its account. Further to our letter we are sending you full estimate of that transfer.
     Sincerely yours, St. Patrick Home's Administration


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • message.zip
   • data.zip
   • logfile.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email könnte wie eine der folgenden aussehen.



 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • asa; asc; asm; asp; cfg; cgi; con; csp; dbx; dlt; dwt; edm; eml; hta;
      htc; htm; inc; jsp; jst; lbi; log; ods; oft; php; mbx; mdx; mht; mmf;
      msg; nch; rdf; rss; sht; ssi; stm; tbb; tbi; tpl; txt; uin; vbp; vbs;
      wab; wml; wsh; xht; xls; xml; xsd; xst


Erzeugen von Adressen für den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • chubakka; obivan; presli; songking; yantchi; smitt; westford;
      goldgong; manager; bengamin; cristofer; albert; antony; martin;
      enigma; aleph; elvis; john; robin; ghost

Dieser wird möglicherweise mit einem der folgenden kombiniert werden:
   • night; bsd; sys; big; bob; white; dark; black; oliver; yanli; brain;
      chan; katamoro; tsungli; killer; bug; sun; tr0n; lion; band1t; andi;
      alert; 2003; 2001; 2004; 2002; 2000; 2006; m4n; man


Der Domain Name ist einer der folgenden:
   • mail.com
   • hotmail.com
   • msn.com
   • gmail.com


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • certific; listserv; ntivi; support; admin; postmaster; root; samples;
      spam; noone; nobody; info; help; gold-certs; feste; contact; bugs;
      anyone; rating; secur; linux; unix; pgp; panda; google; sopho;
      icrosoft; avp; iana; foo; msn; gmail; hotmail


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen wird folgende Zeichenkette dem Domain Namen vorgesetzt:
   • mail.

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • PeyotCodedByHALT

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Mittwoch, 16. August 2006
Die Beschreibung wurde geändert von Andrei Gherman am Donnerstag, 17. August 2006

zurück . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Alle Rechte vorbehalten.

Mein Konto

https:// Dieses Fenster ist zu Ihrer Sicherheit verschlüsselt.