Nume:TR/Drop.iBill.BD
Descoperit pe data de:24/10/2008
Tip:Troian
Subtip:Dropper
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.297 Bytes
MD5:b8750fa07487b47dc6e1ae54347ddbcb
Versiune IVDF:7.00.07.83 - Freitag, 24. Oktober 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Eset: Win32/Agent.OIR trojan
   •  Bitdefender: Trojan.Agent.AKSV


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\%sir de 7 caractere aleatoare%.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– Fisier inofensiv:
   • %SYSDIR%\%sir de 6 caractere aleatoare%

– %SYSDIR%\%sir de 8 caractere aleatoare%.dll Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Runner.BG

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %sir de 9 caractere aleatoare%]
   • Startup="%sir de 10 caractere aleatoare%"
   • DLLName="%dll malware%"
   • Impersonate=dword:00000000
   • Asynchronous=dword:00000001

 Backdoor Servere contactate:

   • re**********t.mobi

Astfel se pot transmite informatii. Aceasta se face prin metoda HTTP POST, folosind un script PHP.


Trimte informatii despre:
    • Informatiile colectate, descrise in sectiunea

 Furt de informatii Incearca sa obtina urmatoarele informatii:

– Parolele din urmatoarele programe:
   • thebat.exe
   • msimn.exe
   • iexplore.exe
   • myie.exe
   • firefox.exe

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Thomas Wegele am Freitag, 24. Oktober 2008
Die Beschreibung wurde geändert von Philipp Wolf am Freitag, 24. Oktober 2008

zurück . . . .