TR/Dldr.iBill.AJ - Trojan

Siehe auch Deutsch

Kurzfassung

Vollständig

Statistik

Name:	TR/Dldr.iBill.AJ
Entdeckt am:	23/04/2007
Art:	Trojan
Nebenart:	Downloader
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Hoch
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Ja
Dateigröße:	2.560 Bytes
MD5 Prüfsumme:	f7a109ae6e620ed8d195f085b14f01cb
VDF Version:	6.38.01.19 - Mon, 23 Apr 2007 09:20 (GMT+1)
IVDF Version:	6.38.01.21 - Mon, 23 Apr 2007 09:20 (GMT+1)

General Verbreitungsmethode:
   • Email

Aliases:
   • Mcafee: Spy-Agent.ba.dldr
   • Kaspersky: Trojan-Downloader.Win32.Nurech.bh
   • F-Secure: Trojan-Downloader:W32/Nurech.BI
   • Sophos: Troj/Dloadr-AXM

Betriebsystem:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Lädt eine schädliche Dateien herunter

Dateien Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
• http://souljah.com/**********/ie.exe
Diese wird lokal gespeichert unter: %WINDIR%\1696195766.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/iBill.AJ

Email Die Malware verfügt über keine eigene Verbreitungsroutine wurde aber via Email verbreitet. Die Einzelheiten sind im folgenden aufgeführt:

Design der Email:
Von: "cleverbridge/Avira GmbH." list@cleverbridge.com
Betreff: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Body:
   • Vielen Dank für Ihre Bestellung bei cleverbridge.

     cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

     Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

     Ihre cleverbridge Referenznummer: 595169


     Zahlungsinformationen

     Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von "www.avira.com" erscheinen wird.

     Ihre Produkte

     Menge Produktname Auslieferung
     1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
     Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner "Eigene Dateien"
     Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.

     Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

     Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
     Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
     Avira AntiVir PersonalEdition Premium herunterladen
     Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner "Eigene Dateien". Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
     Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
     Installationsanleitung anzeigen
     WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
     1 Zuwendung an die Auerbach Stiftung

     Ihre Rechnung

     Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
     Ihre Rechnung

     Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den "Adobe Acrobat Reader", um es öffen zu können. Sollte der "Adobe Acrobat Reader" nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

     Fragen oder Anregungen?

     Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
     Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
     Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

     Mit freundlichen Grüßen,
     Ihr cleverbridge Kundenserviceteam
Dateianhang:
   • 5951693.zip

Injektion – Es injiziert eine Backdoor-Routine in einen Prozess.

    Prozessname:
   • ntdll.dll,NtCreateThread() in order to bypass security tools.
      NtCreateThread() downloads the malicious file.

Kurzfassung hier.

Beschreibung erstellt von Dennis Elser am Mon, 23 Apr 2007 07:32 (GMT+1)
Beschreibung geändert von Alexander Vukcevic am Mon, 23 Apr 2007 10:12 (GMT+1)

» Über Malware
» Über Phishing
» In-the-Wild-Viren

« zurück