Name:TR/Dldr.iBill.C
Entdeckt am:14/01/2007
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:14.336 Bytes
MD5 Prüfsumme:9b4a8b6d019dd25a70b118b7393eb18b
VDF Version:6.37.00.150
IVDF Version:6.37.00.160 - Sonntag, 14. Januar 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Trojan-Downloader.Win32.Small.efe
   •  F-Secure: Trojan-Downloader.Win32.Small.efe
   •  Sophos: Troj/DwnLdr-FXW
   •  Eset: Win32/TrojanDownloader.Nurech.G


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Ermöglicht unbefugten Zugriff auf den Computer


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\drivers\onut.dat Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Design der Email:
Von: GEZ Rechnung <rechnung@gez.de>
Betreff: Ihre GEZ Rechnung
Body:
   • Rechnungsnummer %Nummer%
     Kundennummer %Nummer%
     Datum %aktuelles Datum%
     Bei Rückfragen bitte Kundennummer angeben
     
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 445,99 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen
     Zuschlag beinhaltet, der durch das nicht
     rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als
     Genehmigung. Weitere Informationen zum
     Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere
     Rechnung zur Geltendmachung von Vorsteuerabzug?
     Bitte beachten Sie dann, dass Sie seit 29.12.2004
     die Möglichkeit haben, Ihre Rechnung per E-Mail
     mit einer qualifizierten elektronischen Signatur
     zu erhalten. Sie konnen diese im Bereich
     "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen
     zusätzlich beauftragte Rechnung in Papierform zum
     Vorsteuerabzug vorgelegt haben, bitten wir
     auserdem zu beachten, dass wir Ihnen diese nur
     noch in Form eines "Rechungsdoppels" bieten
     können, da nur so vermieden werden kann, dass GEZ
     mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen
     Signatur finden Sie auch in unseren FAQs unter
     dem Stichwort "Digitale Signatur".
     ========================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006
     beschlossen, dass fur "Neuartige Rundfunkgerate"
     (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe
     von EUR 5,52 zu entrichten ist. Betroffen davon
     sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet=haben.
     www.gez.de/aktuell
     ========================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Rechnung.pdf.exe
   • Rechnung_GEZ.zip

 Hintertür Kontaktiert Server:
Einer der folgenden:
   • http://gracesanders.com/images/**********
   • http://mazal18.com/temp/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mgldesigns.com/mhat/pagetemplate_files/**********
   • http://ipodtopten.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://floridanewhomeindex.com/images/**********
   • http://floorsovertexas.com/images/**********
   • http://gideonsarmy3.com/gideons_files/**********
   • http://giami.org/img/**********

Sobald die Verbindung hergestellt ist wird eine weitere Liste mit Servern abgerufen.
Hierdurch werden Hintertürfunktionen bereitgestellt. Die Antwort der Servers wird in folgende Datei geschrieben: %SYSDIR%\drivers\onut.dat


Möglichkeiten der Fernkontrolle:
    • Datei herunterladen

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 16. Januar 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 16. Januar 2007

zurück . . . .