Name:TR/Dldr.EbayBill.H
Entdeckt am:29/08/2006
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:14.848 Bytes
MD5 Prüfsumme:fcefcd8761152f5a78adf76f27b4bca7
VDF Version:6.35.01.153
IVDF Version:6.35.01.156 - Dienstag, 29. August 2006
Heuristik:HEUR/Trojan.Downloader

 Allgemein Verbreitungsmethode:
   • Email


Alias:
   •  Sophos: Troj/Clagger-AB


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\ipf.exe



Es wird folgende Datei erstellt:

%SYSDIR%\drivers\winut.dat

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ifp"="%SYSDIR%\ipf.exe"



Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "windowsshell"=dword:00000001

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Design der Email:
 


Von: "Telekom" <info@t-com.net>
Betreff: Telekom
Body:
   • Guten Tag,
     die Gesamtsumme für Ihre Rechnung im Monat August beträgt: 1100 Euro.
     
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von
     Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die
     Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten
     elektronischen Signatur zu erhalten. Sie können diese im Bereich"persönliche
     Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte
     Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wiraußerdem
     zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels"
     bieten können, da nur so vermieden werden kann, dass T-Com mehrere
     Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in
     unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     RECHNUNG ONLINE - TIPP DES MONATS
     Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter
     www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
     Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
     www.t-com.de/aktuell.
     ======================================
     
     Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitteunter
     www.t-com.de/rechnung (oben links) auf "Kontakt".
     
     
     Mit freundlichen Grüßen
     Ihre T-Com

 Hintertür Kontaktiert Server:
Alle der folgenden:
   • http://66.235.203.21/~academic/img/**********
   • http://sbest.de/deutsch/**********
   • http://theblogsolution.com/success/**********
   • http://warm.kiev.ua/**********
   • http://eji.kiev.ua/**********
   • http://www.goofyracing.com/public_html/slidet/kiti99tarjouspyynnot1_files/**********
   • http://haglerstudios.com/banner/**********
   • http://www.lynnehassell.com/video/**********
   • http://iondrive.com/images/**********

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\winut.dat


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Ivanes am Dienstag, 29. August 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Dienstag, 29. August 2006

zurück . . . .