Virus:TR/Dldr.iBill.V
Date discovered:22/02/2007
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Low to medium
Distribution Potential:Medium
Damage Potential:Low
Static file:Yes
File size:28.199 Bytes
MD5 checksum:AB42B87EB781389A71B43DD75A423A4C
VDF version:6.37.1.134
IVDF version:6.37.1.134

 General Method of propagation:
   • Email


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads malicious files
   • Drops files

 Files The following files are created:

– Non malicious files:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




It tries to download some files:

– The location is the following:
   • http://marketing-know-how.com/**********get_exe.php?l=
Further investigation pointed out that this file is malware, too.

– The location is the following:
   • http://www.coldspread.de/data/**********get_exe.php?l=
At the time of writing this file was not online for further investigation.

– The location is the following:
   • http://www.eurowing.us/**********get_exe.php?l=
At the time of writing this file was not online for further investigation.

– The location is the following:
   • http://81.95.147.138/**********get_exe.php?l=
At the time of writing this file was not online for further investigation.

– The location is the following:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
At the time of writing this file was not online for further investigation.

– The location is the following:
   • http://tncmhg.com/images/**********get_exe.php?l=
At the time of writing this file was not online for further investigation.

 Registry The following registry keys are added in order to load the service after reboot:

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


The following registry key is added:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


Email design:
From: "EBay" kundensupport@ebay.de
Subject: eBay-Hinweis zu geanderter E-Mail-Adresse
Body:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
Attachment:
   • Ebay.zip

 File details Programming language:
 The malware program was written in MS Visual C++.


Runtime packer:
In order to aggravate detection and reduce size of the file it is packed with the following runtime packer:
   • MEW 11v1.3

Description inserted by Lutz Koch on Thursday, February 22, 2007
Description updated by Lutz Koch on Tuesday, February 27, 2007

Back . . . .