Name:TR/Dldr.iBill.BF
Entdeckt am:25/10/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:31.232 Bytes
MD5 Prüfsumme:488307fee7b6901b7715fc958c83e5d0
VDF Version:7.00.07.088
IVDF Version:7.00.07.090

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Inject.jiq
   •  F-Secure: Trojan.Win32.Inject.jiq
   •  Sophos: Troj/Agent-IAS
   •  Eset: Win32/AutoRun.Agent.AD
   •  Bitdefender: Win32.Worm.Autorun.NT


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://www.univnext.cn/**********
   • http://cjusbciw123.com/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Diverses  Kontaktiert folgende Webseite um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.microsoft.com

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Monica Ghitun am Montag, 3. November 2008
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 4. November 2008

zurück . . . .