Virus:TR/Dldr.iBill.D
Date discovered:23/01/2007
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Medium
Distribution Potential:Low
Damage Potential:Medium
Static file:Yes
File size:26.112 Bytes
MD5 checksum:3290cb5b8bba270B1cc95030edf1cdbe
VDF version:6.37.00.188
IVDF version:6.37.00.204 - Tuesday, January 23, 2007
Heuristic:HEUR/Malware

 General Method of propagation:
   • No own spreading routine


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads files
   • Drops a file
   • Registry modification
   • Third party control


Right after execution the following information is displayed:


 Files It copies itself to the following location:
   • %SYSDIR%\ipcbt.exe



The following file is created:

%SYSDIR%\drivers\onut.dat This file may contain further download locations and might serve as source for new threats.

 Registry – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ipcbt = %SYSDIR%\ipcbt.exe



The following registry key is changed:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   New value:
   • zwq = dword:00000001

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


Email design:
 


From: Gebuehreneinzugszentrale (GEZ) <onlinerechnung@gez.de>
Subject: Rechnung GEZ 22.2006
Body:
   • Ihre detaillierte GEZ Rechnung von - 22.01.2007
     
     
     Rechnungsnummer %number%
     Kundennummer %number%
     Datum 22.12.2006
     
     
     Bei Rückfragen bitte Kundennummer angeben
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 123,82 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass GEZ mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006 beschlossen, dass fur "Neuartige Rundfunkgerate" (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe von EUR 5,52 zu entrichten ist. Betroffen davon sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet haben.
     www.gez.de/aktuell
     ======================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007
     
     Aufsichtsrat:
     Handelsregister:
      Dr.Klaus Zumwinkel (Vorsitzender)
     Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015
Attachment:
   • %number%.zip



The email looks like the following:


 Backdoor Contact server:
All of the following:
   • http://gideonsarmy3.com/gideons_files/**********
   • http://floorsovertexas.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mazal18.com/temp/**********
   • http://gracesanders.com/images/**********
   • http://buckells.co.uk/heidi/**********
   • http://thecorsairs.co.uk/Pics/**********

Once connected it will retrieve an additional list of servers.
As a result remote control capability is provided. The servers answer is written to the file: %SYSDIR%\drivers\onut.dat


Remote control capabilities:
    • Download file

 File details Programming language:
 The malware program was written in MS Visual C++.

Description inserted by Andrei Gherman on Tuesday, January 23, 2007
Description updated by Robert Harja Iliescu on Monday, February 12, 2007

Back . . . .