Name:TR/Dldr.iBill.BD
Entdeckt am:24/10/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:33.792 Bytes
MD5 Prüfsumme:57127815d6864a495151e49c7bf7d192
IVDF Version:7.00.07.83 - Freitag, 24. Oktober 2008

 General Verbreitungsmethoden:
   • Email


Aliases:
   •  Symantec: W32.SillyFDC
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Worm.Win32.Downloader.wh
   •  F-Secure: Worm:W32/AutoRun.IT
   •  Sophos: Troj/Agent-IAJ
   •  Grisoft: Pakes.AJY
   •  Eset: Win32/TrojanDownloader.Agent.OJX trojan
   •  Bitdefender: Win32.Worm.Autorun.NT

Wurde zuvor wie folgt erkannt:
   •  TR/Dropper.Gen


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Microsoft common\svchost.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %temporary internet files%\02[1].exe




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://re**********t.mobi/02.exe
Diese wird lokal gespeichert unter: %SYSDIR%\mxwxc.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Drop.iBill.BD

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Betreff:
Eine der folgenden:
   • Auflistung der Kosten
   • Amtsgericht Koeln
   • Inkasso

Der Body der Email ist einer der folgenden:

   • Sehr geehrte Damen und Herren
     Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
     Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug
     als "Vattenfallabbuchung " angezeigt.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     Vattenfall Europe AG
     Chausseestra?e 23
     10115 Berlin
     
     Vertretungsberechtigter: Karl Treumeier
     Umsatzsteuerident-Nummer: DR123052388
     Handelsregisternummer HRB 74215B

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.771090603943 ist erfolgt
     Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     
     TESCHINKASSO Forderungsmanagement GmbH
     
     Geschaeftsfuehrer: Siegward Tesch
     Bielsteiner Str. 43 in 51674 Wiehl
     Telefon (0 22 62) 7 11-9
     Telefax (0 22 62) 7 11-806
     
     Ust-ID Nummer: 212 / 5758 / 0635
     
     Amtsgericht Koeln HRB 39598


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Rechnung.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Freitag, 24. Oktober 2008
Die Beschreibung wurde geändert von Philipp Wolf am Freitag, 24. Oktober 2008

zurück . . . .