Nume:TR/Dldr.iBill.A
Descoperit pe data de:07/01/2007
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Ridicat
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:9.181 Bytes
MD5:19a960f2ae534915040Bcb60afaa295f
Versiune VDF:6.37.00.110
Versiune IVDF:6.37.00.114 - Sonntag, 7. Januar 2007

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%combinatie de caractere aleatoare%.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WinUpdate = %SYSDIR%\%combinatie de caractere aleatoare%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • WinUpdate = %SYSDIR%\%combinatie de caractere aleatoare%.exe



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\OLE]
   • WinUpdate = %SYSDIR%\%combinatie de caractere aleatoare%.exe

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • WinUpdate = %SYSDIR%\%combinatie de caractere aleatoare%.exe



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Noua valoare:
   • WinUpdate = %SYSDIR%\%combinatie de caractere aleatoare%.exe

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Noua valoare:
   • WinUpdate = %SYSDIR%\%combinatie de caractere aleatoare%.exe

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


Subiect:
Urmatorul:
   • 1&1 Internet AG - Ihre Rechnung %numar%



Corpul email-ului:
Corpul email-ului este:

   • Sehr geehrter 1&1 Kunde,
     
     anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.
     
     Gemäß der erteilten Einzugsermächtigung werden
     wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.
     
     Ihre Rechnung finden Sie als Anhang im
     PDF-EXE-Format. Zum Lesen und Ausdrucken
     benötigen Sie kein zusätzliches Programm!
     
     Fragen zu Ihrer Rechnung beantwortet Ihnen gerne
     unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
     Übrigens: Wir haben unsere Servicezeiten für Sie
     erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.
     
     Mit freundlichen Grüßen
     
     Ihr 1&1 WebHosting-Team
     
     [Dies ist eine automatisch generierte Nachricht,
     bitte antworten Sie nicht an diesen Absender.
     Falls Sie Fragen an den 1&1 Support haben,
     verwenden Sie bitte das Kontaktformular unter www.**********]
     
Numele fisierului atasat este urmatorul:
   • Rechnung.pdf.exe

 Backdoor Servere contactate:
Unul dintre:
   • http://www.marketing-know-how.com/bookreview/inc/**********
   • http://www.blingblingventures.com/snake1/uploads/avatars/**********
   • http://www.ronindesigns.net/images/cars/**********
   • http://www.alexkabobhouse.com/images/**********
   • http://testing-one-two.com/editor/**********
   • http://66.235.203.21/~academic/img/**********
   • http://deja-rue.com/mypix/**********



Trimte informatii despre:
    • Statusul actual al malware-ului


Posibilitati de control la distanta:
    • descarcare fisier

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • svchost.exe


 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 8. Januar 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 9. Januar 2007

zurück . . . .