Virus:TR/Dldr.iBill.T
Date discovered:20/02/2007
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Low
Distribution Potential:Low
Damage Potential:Low to medium
Static file:Yes
File size:35.840 Bytes
MD5 checksum:b982a8b3974be19efcecce8c6e44cb64
VDF version:6.37.01.116
IVDF version:6.37.01.117 - Monday, February 19, 2007

 General Method of propagation:
   • Email


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.bhc
   •  TrendMicro: TROJ_AGENT.IQN
   •  Sophos: Troj/Clagger-AZ
   •  Bitdefender: Trojan.Downloader.Nurech.V


Platforms / OS:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a malicious file
   • Drops a file

 Files It copies itself to the following location:
   • %SYSDIR%\iasx.exe




It tries to download a file:

– The locations are the following:
   • http://releaseforlife.com/images/**********
   • http://hiboss.com/images/dvd/**********
   • http://starcleaningservice.com.au/images/**********
   • http://oxfordclockrepairs.co.uk/Clocks/**********
   • http://northernsoulclub.com/Images/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://floorsovertexas.com/images/**********
It is saved on the local hard drive under: %SYSDIR%\Drivers\acge.dt This file may contain further download locations and might serve as source for new threats.

 Registry The following registry key is added in order to run the process after reboot:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "iasx"="iasx.exe"



The following registry key is added:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "zwq"=dword:000178d8

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


From:
The sender of the email is the following:
   • IKEA Ulm


Body:
– Contains HTML code.
The body of the email is the following:

   •
     Rechnungsnummer
     Kundennummer
     Datum
     161 871 518 5613
     417 125 5464 =BR>10 Februar 2006
     
     
     Sehr geehrter =KEA Kunde,
     
     die Gesamtsumme fr Ihre Rechnung betrgt: =STRONG>435,76 Euro.
     Anbei erhalten Sie den detaillierten Rechnung =owie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im =eigefgter ZIP Datei.
     
     Kopie dieses Schreibens wird Ihnen =leichzeitig auch per Post zugeschickt.
     Die Unterlassung rechtzeitiger =inwnde gilt als Genehmigung. Weitere Informationen zum Widerspruch finden = ebenfalls im beigefgten Dokument.
     
     Gem =er erteilten Einzugsermchtigung werden wir den Rechnungsbetrag in den =chsten Tagen von Ihrem Konto einziehen.
     Ihre Rechnung ist im PDF-Format =rstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden
     Verifikationsbericht finden Sie im Anhang dieser = E-Mail.
     Durch die "Digitale Signatur" wird Ihre Rechnung nach =em Signatur-Gesetz (SigG) anerkannt.
     
     Um sich die Rechnung anschauen und die Signatur prfen zu =nnen, bentigen Sie den Adobe Reader, Version 7.0 (oder hher).
     Sollten Sie =einen Adobe Reader besitzen, knnen Sie diesen kostenfrei auf der =omepage von Adobe downloaden: =ttp://www.adobe.de/products/acrobat/readstep2.html
     
     Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen =glich sein, die Rechnungsdatei zu ffnen
     und die Signatur zu =rfen.
     
     Antworten auf Ihre weiteren Fragen zur digitalen =ignatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale =ignatur".
     
     
     ==================3D================
     Das IKEA FAMILY LIVE
     Einrichtungsmagazin: 100 Seiten Inspiration und Information.
     4 -mal im Jahr kostenlos zum Mitnehmen in deinem =KEA FAMILY Shop.
     
     Transportsicherheit:
     Zeig einfach deine IKEA FAMILY =ARD an der Kasse vor.
     Wird dein Einkauf auf dem Eigentransport nach =ause beschdigt,
     erhlst du gegen Vorlage des Kassenbons =inen kostenlosen Ersatz der Ware.
     ======================3D============
     
     Mit freundlichen Grussen
     Ihre IKEA Team
     i.A. Sandy =teinicke
     ---------------------------------------------------
     
     Inter IKEA Systems B.V. 1999 - 2006
     
     Aufsichtsrat:
     Handelsregister:
      Dr.Klaus Zumwinkel (Vorsitzender)
     Amtsgericht Koblenz =RB 12903, Sitz der Gesellschaft Bonn

The attachment is a copy of the malware described here: TR/Dldr.iBill.T



The email looks like the following:


 File details Programming language:
 The malware program was written in Delphi.

Description inserted by Andrei Ivanes on Tuesday, February 20, 2007
Description updated by Andrei Ivanes on Wednesday, February 21, 2007

Back . . . .