Name:TR/Dldr.iBill.AF
Entdeckt am:23/03/2007
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:8.704 Bytes
MD5 Prüfsumme:5d9fdc86fbd4aacb044957b3797d7661
VDF Version:6.38.00.105
IVDF Version:6.38.00.107 - Freitag, 23. März 2007

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.bkb
   •  F-Secure: Trojan-Downloader:W32/Small.EJK

Wurde zuvor wie folgt erkannt:
   •  TR/Crypt.CFI.Gen


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Erstellt Dateien
   • Änderung an der Registry

 Dateien Es werden folgende Dateien erstellt:

– Nicht virulente Dateien:
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://81.95.147.138/**********/get_exe.php?l=e
   • http://marketing-know-how.com/**********/get_exe.php?l=e
   • http://www.eurowing.us/**********/get_exe.php?l=e
   • http://www.thaitradeshow.com/**********/get_exe.php?l=e
   • http://tncmhg.com/**********/get_exe.php?l=e
Diese wird lokal gespeichert unter: %SYSDIR%\lr85.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Erkannt als: Worm/SdBot.196017

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Design der Email:
Von: Rechnungsstelle 1&1 Internet AG (rechnungsstelle@1und1.de)
Betreff: 1&1 Internet AG - Ihre Rechnung 20029770 vom 23.03.2007
Body:
   • Ihre Kundennummer: 4338480
     
     Sehr geehrter 1und1 Kunde,
     
     im Rahmen der Mehrwertsteuererhöhung sind wir gesetzlich verpflichtet,
     alle Rechnungen anzupassen, die im Jahr 2006 erstellt wurden und deren
     Abrechnungszeiträume in das Jahr 2007 hineinreichen.
     
     Sie erhalten daher in dieser E-Mail eine Anlage:
     
     - Eine aktualisierte Rechnung, in welcher der Zeitraum des Jahres 2006 mit 16%
     MwSt. und der Zeitraum des Jahres 2007 mit 19% MwSt. ausgewiesen wird
     
     Wir verrechnen diese beiden Belege miteinander. Aus Gutschrift und
     aktualisierter Rechnung ergibt sich somit für Sie ein Differenzbetrag von:
     
     - 493,67 EUR
     
     Ausschließlich der in dieser E-Mail genannte Differenzbetrag wird auf dem
     üblichen Zahlungsweg ausgeglichen.
     
     
     Aktueller Sicherheitshinweis:
     =============================
     Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
     Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
     Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!
     
     Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:
     
     - Sie erhalten echte Rechnungen immer als ZIP Dateien
     - Sie finden immer diesen Sicherheitshinweis darin
     
     
     Weitere Informationen hierzu finden Sie unter: http://www.1und1.de/
     
     Hilfe & Kontakt
     ===============
     Haben Sie noch Fragen zu Ihrer Rechnung? Unsere Mitarbeiter der Rechnungsstelle sind gerne
     für Sie da. Sie erreichen uns montags bis samstags von 08:00 Uhr bis 20:00 Uhr unter 0180 5 051 006 (14 ct/Min.).
     
     Mit freundlichen Grüßen
     Ihr 1&1 WebHosting-Team
     
     Und hier noch ein Tipp, wie Sie mit 1&1 Geld verdienen können:
     
     Melden Sie sich noch heute kostenlos (!!!) als '1&1 ProfiSeller' an
     und empfehlen Sie unsere Produkte Ihren Freunden und Bekannten.
     Für jeden vermittelten Auftrag erhalten Sie attraktive Provisionen von bis zu 160,- EUR!
     
     Mehr Infos unter: http://www.profiseller.de/ps-neu
     
     [Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.]
     
Dateianhang:
   • %siebenstellige zufällige Buchstabenkombination%.ZIP

Die Beschreibung wurde erstellt von Alexander Vukcevic am Freitag, 23. März 2007
Die Beschreibung wurde geändert von Alexander Vukcevic am Freitag, 23. März 2007

zurück . . . .