Nume:TR/Dldr.iBill.V
Descoperit pe data de:22/02/2007
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Scazut
Fisier static:Da
Marime:28.199 Bytes
MD5:AB42B87EB781389A71B43DD75A423A4C
Versiune VDF:6.37.1.134
Versiune IVDF:6.37.1.134

 General Metoda de raspandire:
   • Email


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere malware
   • Creeaza fisiere

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://marketing-know-how.com/**********get_exe.php?l=
Analiza ulterioara a relevat ca si acest fisier este malware.

– Adresa este urmatoarea:
   • http://www.coldspread.de/data/**********get_exe.php?l=
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.eurowing.us/**********get_exe.php?l=
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://81.95.147.138/**********get_exe.php?l=
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • http://tncmhg.com/images/**********get_exe.php?l=
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a incarca serviciul la repornirea sistemului:

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


Se adauga in registrii sistemului:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


Formatul email-ului:
De la: "EBay" kundensupport@ebay.de
Subiect: eBay-Hinweis zu geanderter E-Mail-Adresse
Corp mesaj:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
Atasament:
   • Ebay.zip

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • MEW 11v1.3

Description inserted by Lutz Koch on Thursday, February 22, 2007
Description updated by Lutz Koch on Tuesday, February 27, 2007

Back . . . .