Virus:TR/Dldr.iBill.AF
Date discovered:23/03/2007
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Medium
Distribution Potential:Medium
Damage Potential:Medium
Static file:Yes
File size:8.704 Bytes
MD5 checksum:5d9fdc86fbd4aacb044957b3797d7661
VDF version:6.38.00.105
IVDF version:6.38.00.107 - Friday, March 23, 2007

 General Method of propagation:
   • No own spreading routine


Aliases:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.bkb
   •  F-Secure: Trojan-Downloader:W32/Small.EJK

It was previously detected as:
   •  TR/Crypt.CFI.Gen


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a malicious file
   • Drops files
   • Registry modification

 Files The following files are created:

– Non malicious files:
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat




It tries to download a file:

– The locations are the following:
   • http://81.95.147.138/**********/get_exe.php?l=e
   • http://marketing-know-how.com/**********/get_exe.php?l=e
   • http://www.eurowing.us/**********/get_exe.php?l=e
   • http://www.thaitradeshow.com/**********/get_exe.php?l=e
   • http://tncmhg.com/**********/get_exe.php?l=e
It is saved on the local hard drive under: %SYSDIR%\lr85.exe Furthermore this file gets executed after it was fully downloaded. Detected as: Worm/SdBot.196017

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


Email design:
From: Rechnungsstelle 1&1 Internet AG (rechnungsstelle@1und1.de)
Subject: 1&1 Internet AG - Ihre Rechnung 20029770 vom 23.03.2007
Body:
   • Ihre Kundennummer: 4338480
     
     Sehr geehrter 1und1 Kunde,
     
     im Rahmen der Mehrwertsteuererhöhung sind wir gesetzlich verpflichtet,
     alle Rechnungen anzupassen, die im Jahr 2006 erstellt wurden und deren
     Abrechnungszeiträume in das Jahr 2007 hineinreichen.
     
     Sie erhalten daher in dieser E-Mail eine Anlage:
     
     - Eine aktualisierte Rechnung, in welcher der Zeitraum des Jahres 2006 mit 16%
     MwSt. und der Zeitraum des Jahres 2007 mit 19% MwSt. ausgewiesen wird
     
     Wir verrechnen diese beiden Belege miteinander. Aus Gutschrift und
     aktualisierter Rechnung ergibt sich somit für Sie ein Differenzbetrag von:
     
     - 493,67 EUR
     
     Ausschließlich der in dieser E-Mail genannte Differenzbetrag wird auf dem
     üblichen Zahlungsweg ausgeglichen.
     
     
     Aktueller Sicherheitshinweis:
     =============================
     Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
     Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
     Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!
     
     Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:
     
     - Sie erhalten echte Rechnungen immer als ZIP Dateien
     - Sie finden immer diesen Sicherheitshinweis darin
     
     
     Weitere Informationen hierzu finden Sie unter: http://www.1und1.de/
     
     Hilfe & Kontakt
     ===============
     Haben Sie noch Fragen zu Ihrer Rechnung? Unsere Mitarbeiter der Rechnungsstelle sind gerne
     für Sie da. Sie erreichen uns montags bis samstags von 08:00 Uhr bis 20:00 Uhr unter 0180 5 051 006 (14 ct/Min.).
     
     Mit freundlichen Grüßen
     Ihr 1&1 WebHosting-Team
     
     Und hier noch ein Tipp, wie Sie mit 1&1 Geld verdienen können:
     
     Melden Sie sich noch heute kostenlos (!!!) als '1&1 ProfiSeller' an
     und empfehlen Sie unsere Produkte Ihren Freunden und Bekannten.
     Für jeden vermittelten Auftrag erhalten Sie attraktive Provisionen von bis zu 160,- EUR!
     
     Mehr Infos unter: http://www.profiseller.de/ps-neu
     
     [Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.]
     
Attachment:
   • %seven-digit random character string%.ZIP

Description inserted by Alexander Vukcevic on Friday, March 23, 2007
Description updated by Alexander Vukcevic on Friday, March 23, 2007

Back . . . .