Virus:TR/Dldr.EbayBill.H
Date discovered:29/08/2006
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Low to medium
Distribution Potential:Low to medium
Damage Potential:Low to medium
Static file:Yes
File size:14.848 Bytes
MD5 checksum:fcefcd8761152f5a78adf76f27b4bca7
VDF version:6.35.01.153
IVDF version:6.35.01.156 - Tuesday, August 29, 2006
Heuristic:HEUR/Trojan.Downloader

 General Method of propagation:
   • Email


Alias:
   •  Sophos: Troj/Clagger-AB


Platforms / OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a malicious file
   • Registry modification

 Files It copies itself to the following location:
   • %SYSDIR%\ipf.exe



The following file is created:

%SYSDIR%\drivers\winut.dat

 Registry The following registry key is added in order to run the process after reboot:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ifp"="%SYSDIR%\ipf.exe"



The following registry key is added:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "windowsshell"=dword:00000001

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


Email design:
 


From: "Telekom" <info@t-com.net>
Subject: Telekom
Body:
   • Guten Tag,
     die Gesamtsumme für Ihre Rechnung im Monat August beträgt: 1100 Euro.
     
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von
     Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die
     Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten
     elektronischen Signatur zu erhalten. Sie können diese im Bereich"persönliche
     Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte
     Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wiraußerdem
     zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels"
     bieten können, da nur so vermieden werden kann, dass T-Com mehrere
     Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in
     unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     RECHNUNG ONLINE - TIPP DES MONATS
     Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter
     www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
     Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
     www.t-com.de/aktuell.
     ======================================
     
     Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitteunter
     www.t-com.de/rechnung (oben links) auf "Kontakt".
     
     
     Mit freundlichen Grüßen
     Ihre T-Com

 Backdoor Contact server:
All of the following:
   • http://66.235.203.21/~academic/img/**********
   • http://sbest.de/deutsch/**********
   • http://theblogsolution.com/success/**********
   • http://warm.kiev.ua/**********
   • http://eji.kiev.ua/**********
   • http://www.goofyracing.com/public_html/slidet/kiti99tarjouspyynnot1_files/**********
   • http://haglerstudios.com/banner/**********
   • http://www.lynnehassell.com/video/**********
   • http://iondrive.com/images/**********

Once connected it will retrieve an additional list of servers.
The servers answer is written to the file: %SYSDIR%\winut.dat


Remote control capabilities:
    • Download file

 File details Programming language:
 The malware program was written in MS Visual C++.

Description inserted by Andrei Ivanes on Tuesday, August 29, 2006
Description updated by Andrei Ivanes on Tuesday, August 29, 2006

Back . . . .