Name:TR/Dldr.iBill.BR
Entdeckt am:24/11/2008
Art:Trojan
Nebenart:Downloader
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:26.112 Bytes
MD5 Prüfsumme:b2f27d1b598d46998eda3a12ddfe140e
IVDF Version:7.01.00.130 - Montag, 24. November 2008

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt eine schädliche Dateien herunter
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


Betreff:
Folgende:
   • Abrechnung %mehrere zufällige Zahlen von 0 - 9%



Body:
Der Body der Email ist folgender:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%mehrere zufällige Zahlen von 0 - 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • abrechnung.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Thomas Wegele am Dienstag, 25. November 2008
Die Beschreibung wurde geändert von Thomas Wegele am Dienstag, 25. November 2008

zurück . . . .