Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:TR/Dldr.iBill.BR
Entdeckt am:24/11/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:26.112 Bytes
MD5 Prfsumme:b2f27d1b598d46998eda3a12ddfe140e
IVDF Version:7.01.00.130 - Montag, 24. November 2008

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Die anfnglich ausgefhrte Kopie der Malware wird gelscht.




Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Diese Datei enthlt wahrscheinlich Download-Adressen welche als weitere Quelle fr neue Bedrohungen dienen knnen.

 Registry Folgender Registryschlssel wird hinzugefgt:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Die Malware verfgt ber keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


Betreff:
Folgende:
   • Abrechnung %mehrere zufllige Zahlen von 0 - 9%



Body:
Der Body der Email ist folgender:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%mehrere zufllige Zahlen von 0 - 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • abrechnung.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 25. November 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 25. November 2008

zurück . . . .