Virus:TR/Dldr.EbayBill.B
Date discovered:30/06/2006
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Low to medium
Distribution Potential:Low
Damage Potential:Low to medium
Static file:Yes
File size:18.944 Bytes
MD5 checksum:c758167de38ef7453db628a24af769e1
VDF version:6.35.00.97
IVDF version:6.35.00.121 - Wednesday, July 5, 2006
Heuristic:HEUR/Trojan.Downloader

 General Methods of propagation:
   • Email


Aliases:
   •  Symantec: Trojan.Clagger
   •  Mcafee: Downloader-AAP
   •  Kaspersky: Trojan-Downloader.Win32.Agent.ann
   •  TrendMicro: TROJ_YABE.Q


Platforms / OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a file
   • Downloads a malicious file

 Files It copies itself to the following location:
   • %SYSDIR%\ipf.exe




It tries to download a file:

– The locations are the following:
   • http://actsmiley.co.uk/img/**********
   • http://spbfp.atlant.ru/sys/**********
   • http://dreadwolf.net/**********
   • http://dynafilmes.com.br/imagens/**********
   • http://docslv.com/gallery/bridge/**********
   • http://soloaguia.com/imagens/**********
   • http://spbfp.atlant.ru/sys/sys/**********
   • http://dynafilmes.com.br/imagens/3/**********
   • http://soloaguia.com/imagens/3/**********
   • http://leads4sales.co.uk/images/main/**********
   • http://dbspider.net/approach-som/images/**********
It is saved on the local hard drive under: %SYSDIR%\drivers\winut.dat This file may contain further download locations and might serve as source for new threats.

 Registry The following registry key is added in order to run the process after reboot:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "IPF"="%SYSDIR%\ipf.exe"



It creates the following entries in order to bypass the Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%malware execution directory%\%executed file%"="%malware execution directory%\%executed file%:*:Enabled:%executed file%"
   • "%SYSDIR%\ipf.exe"="%SYSDIR%\ipf.exe:*:Enabled:ipf"

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


From:
The sender of the email is the following:
   • Ebay


Subject:
One of the following:
   • eBay AG Rechnung vom 29.06.2006
   • eBay International AG Rechnung vom 29.06.2006
   • EBAY
   • eBay Rechnung vom 29.06.2006
   • eBay AG Rechnung vom 16.06.2006
   • eBay Rechnung vom 29 Juni 2006



Body:
The body of the email is the following:

   • Guten Tag,
     hier ist eine Zusammenfassung der Kontoaktivitaeten seit Ihrer letzten Rechnung
     
     In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung
     -------------------------------------------------------------------------------
     
     Rechnung vom 29 Juni 2006
     Abrechnungszeitraum: 1.Juni 2006 - 1.Juli 2006 PST/PDT
     Fortlaufende ID: 00-EU16762192-6 AG
     
     eBay International AG
     Helvetiastrasse 15/17
     3005 Bern
     Schweiz
     
     Schweizer MwSt-Nummer: 508 508
     EU - Umsatzsteuer-Identifikationsnummer: EU528004080
     Firmennummer: CH-035.3.536.505-4
     
     eBay-Kontonummer: E137271635627-EUR
     Rechnungsnummer: 042306-1389878143220
     
     Letzte Rechnung: |0,00
     Zahlungen und Gutschriften: |0,00
     
     Faelliger Gesamtbetrag: ||%RND_FIRST_DIGIT89,73
     
     
     Zahlungsmethode
     Sie sind fr das Lastschriftverfahren angemeldet. Der Rechnungsbetrag
     wird innerhalb der nchsten fnf bis sieben Tage von Ihrem
     Bankkonto abgebucht. (Der Abbuchungsbetrag kann von Ihrem
     Rechnungsbetrag abweichen, wenn Sie im Zeitraum zwischen der
     Rechnungserstellung und dem Abbuchungsdatum Zahlungen geleistet oder
     Gutschriften erhalten haben.)
     
     Hinweis
     Saeumnisgebuehren: Wenn Ihr eBay-Konto ueberfaellig ist faellt eine
     Saeumnisgebuehr an. Um Naeheres zu diesem Thema zu erfahren, gehen
     Sie bitte zu Rechnungen und Zahlungen.
     (http://pages.ebay.de/help/account/payfees.html)
     
     Mehr zum Thema eBay-Gebhren
     (http://pages.ebay.de/help/sell/fees.html)
     
     Mitteilungen
     
     Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder
     persoenlichen Daten (z.B. Kennwort, Kreditkarte, Kontonummer).
     _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
     
     
     Hilfreiche Links
     
     Zur Beantwortung Ihrer Fragen zu Ihrem eBay-Konto benutzen Sie bitte den folgenden Link:
     http://pages.ebay.de/help/account/selling-account-overview.html
     
     Um Ihre Mitgliedsdaten zu aktualisieren, benutzen Sie bitte den folgenden Link:
     http://cgi4.ebay.de/aw-cgi/eBayISAPI.dll?ChangeRegistrationShow
     
     Um eBay zu kontaktieren, verwenden Sie bitte den folgenden Link:
     http://pages.ebay.de/help/contact_inline/index.html
     
     
     Mit freundlichen Gruessen
     eBay International AG
     
     
     
     Zusaetzliche Mitteilungen
     Die oben aufgefhrten Leistungen beziehen sich ausschlielich auf Ihre
     Anmeldung unter www.ebay.de.


Attachment:
The filename of the attachment is:
   • Ebay-Rechung.pdf.zip



The email looks like the following:


Description inserted by Andrei Ivanes on Friday, June 30, 2006
Description updated by Andrei Ivanes on Friday, June 30, 2006

Back . . . .