Virus:TR/Dldr.iBill.C
Date discovered:14/01/2007
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Medium
Distribution Potential:Low
Damage Potential:Medium
Static file:Yes
File size:14.336 Bytes
MD5 checksum:9b4a8b6d019dd25a70b118b7393eb18b
VDF version:6.37.00.150
IVDF version:6.37.00.160 - Sunday, January 14, 2007

 General Method of propagation:
   • No own spreading routine


Aliases:
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Trojan-Downloader.Win32.Small.efe
   •  F-Secure: Trojan-Downloader.Win32.Small.efe
   •  Sophos: Troj/DwnLdr-FXW
   •  Eset: Win32/TrojanDownloader.Nurech.G


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads files
   • Third party control


Right after execution the following information is displayed:


 Files The following file is created:

%SYSDIR%\drivers\onut.dat This file may contain further download locations and might serve as source for new threats.

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


From:
The sender address is spoofed.


Email design:
From: GEZ Rechnung <rechnung@gez.de>
Subject: Ihre GEZ Rechnung
Body:
   • Rechnungsnummer %number%
     Kundennummer %number%
     Datum %current date%
     Bei Rückfragen bitte Kundennummer angeben
     
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 445,99 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen
     Zuschlag beinhaltet, der durch das nicht
     rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als
     Genehmigung. Weitere Informationen zum
     Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere
     Rechnung zur Geltendmachung von Vorsteuerabzug?
     Bitte beachten Sie dann, dass Sie seit 29.12.2004
     die Möglichkeit haben, Ihre Rechnung per E-Mail
     mit einer qualifizierten elektronischen Signatur
     zu erhalten. Sie konnen diese im Bereich
     "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen
     zusätzlich beauftragte Rechnung in Papierform zum
     Vorsteuerabzug vorgelegt haben, bitten wir
     auserdem zu beachten, dass wir Ihnen diese nur
     noch in Form eines "Rechungsdoppels" bieten
     können, da nur so vermieden werden kann, dass GEZ
     mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen
     Signatur finden Sie auch in unseren FAQs unter
     dem Stichwort "Digitale Signatur".
     ========================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006
     beschlossen, dass fur "Neuartige Rundfunkgerate"
     (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe
     von EUR 5,52 zu entrichten ist. Betroffen davon
     sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet=haben.
     www.gez.de/aktuell
     ========================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007


Attachment:
The filename of the attachment is one of the following:
   • Rechnung.pdf.exe
   • Rechnung_GEZ.zip

 Backdoor Contact server:
One of the following:
   • http://gracesanders.com/images/**********
   • http://mazal18.com/temp/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mgldesigns.com/mhat/pagetemplate_files/**********
   • http://ipodtopten.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://floridanewhomeindex.com/images/**********
   • http://floorsovertexas.com/images/**********
   • http://gideonsarmy3.com/gideons_files/**********
   • http://giami.org/img/**********

Once connected it will retrieve an additional list of servers.
As a result remote control capability is provided. The servers answer is written to the file: %SYSDIR%\drivers\onut.dat


Remote control capabilities:
    • Download file

 File details Programming language:
 The malware program was written in MS Visual C++.

Description inserted by Andrei Gherman on Tuesday, January 16, 2007
Description updated by Andrei Gherman on Tuesday, January 16, 2007

Back . . . .