Nume:TR/Dldr.iBill.AJ
Descoperit pe data de:23/04/2007
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Ridicat
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:2.560 Bytes
MD5:f7a109ae6e620ed8d195f085b14f01cb
Versiune VDF:6.38.01.19
Versiune IVDF:6.38.01.21 - Montag, 23. April 2007

 General Metoda de raspandire:
   • Email


Alias:
   •  Mcafee: Spy-Agent.ba.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.bh
   •  F-Secure: Trojan-Downloader:W32/Nurech.BI
   •  Sophos: Troj/Dloadr-AXM


Sisteme de operare:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware

 Fisiere Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://souljah.com/**********/ie.exe
Fisierul este stocat pe hard disc la: %WINDIR%\1696195766.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/iBill.AJ

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


Formatul email-ului:
De la: "cleverbridge/Avira GmbH." list@cleverbridge.com
Subiect: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Corp mesaj:
   • Vielen Dank für Ihre Bestellung bei cleverbridge.
     
     cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.
     
     Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.
     
     Ihre cleverbridge Referenznummer: 595169
     
     
     Zahlungsinformationen
     
     Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von "www.avira.com" erscheinen wird.
     
     Ihre Produkte
     
     Menge Produktname Auslieferung
     1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
     Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner "Eigene Dateien"
     Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.
     
     Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:
     
     Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
     Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
     Avira AntiVir PersonalEdition Premium herunterladen
     Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner "Eigene Dateien". Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
     Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
     Installationsanleitung anzeigen
     WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
     1 Zuwendung an die Auerbach Stiftung
     
     Ihre Rechnung
     
     Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
     Ihre Rechnung
     
     Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den "Adobe Acrobat Reader", um es öffen zu können. Sollte der "Adobe Acrobat Reader" nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.
     
     Fragen oder Anregungen?
     
     Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
     Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
     Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html
     
     Mit freundlichen Grüßen,
     Ihr cleverbridge Kundenserviceteam
Atasament:
   • 5951693.zip

 Injectarea codului malware in alte procese – Injecteaza o rutina backdoor intr-un proces.

    Numele procesului:
   • ntdll.dll,NtCreateThread() in order to bypass security tools.
      NtCreateThread() downloads the malicious file.


Die Beschreibung wurde erstellt von Dennis Elser am Montag, 23. April 2007
Die Beschreibung wurde geändert von Alexander Vukcevic am Montag, 23. April 2007

zurück . . . .