Name:TR/Drop.iBill.BD
Entdeckt am:24/10/2008
Art:Trojan
Nebenart:Dropper
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:45.297 Bytes
MD5 Prüfsumme:b8750fa07487b47dc6e1ae54347ddbcb
IVDF Version:7.00.07.83 - Freitag, 24. Oktober 2008

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Eset: Win32/Agent.OIR trojan
   •  Bitdefender: Trojan.Agent.AKSV


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Stiehlt Informationen

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\%siebenstellige zufällige Buchstabenkombination%.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– Nicht virulente Datei:
   • %SYSDIR%\%sechsstellige zufällige Buchstabenkombination%

%SYSDIR%\%achtstellige zufällige Buchstabenkombination%.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Runner.BG

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %neunstellige zufällige Buchstabenkombination%]
   • Startup="%zehnstellige zufällige Buchstabenkombination%"
   • DLLName="%Malware DLL%"
   • Impersonate=dword:00000000
   • Asynchronous=dword:00000001

 Hintertür Kontaktiert Server:
Den folgenden:
   • re**********t.mobi

Hierdurch können Informationen gesendet werden. Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.


Sende Informationen über:
    • Aus dem Diebstahl-Bereich gesammelte Informationen

 Diebstahl Es wird versucht folgende Information zu klauen:

– Passwörter folgender Programme:
   • thebat.exe
   • msimn.exe
   • iexplore.exe
   • myie.exe
   • firefox.exe

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Freitag, 24. Oktober 2008
Die Beschreibung wurde geändert von Philipp Wolf am Freitag, 24. Oktober 2008

zurück . . . .