Virus:TR/Dldr.iBill.BD
Date discovered:24/10/2008
Type:Trojan
Subtype:Downloader
In the wild:Yes
Reported Infections:Low to medium
Distribution Potential:Medium
Damage Potential:Medium
Static file:Yes
File size:33.792 Bytes
MD5 checksum:57127815d6864a495151e49c7bf7d192
IVDF version:7.00.07.83 - Friday, October 24, 2008

 General Methods of propagation:
   • Email


Aliases:
   •  Symantec: W32.SillyFDC
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Worm.Win32.Downloader.wh
   •  F-Secure: Worm:W32/AutoRun.IT
   •  Sophos: Troj/Agent-IAJ
   •  Grisoft: Pakes.AJY
   •  Eset: Win32/TrojanDownloader.Agent.OJX trojan
   •  Bitdefender: Win32.Worm.Autorun.NT

It was previously detected as:
   •  TR/Dropper.Gen


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a malicious file
   • Lowers security settings
   • Registry modification

 Files It copies itself to the following location:
   • %PROGRAM FILES%\Microsoft common\svchost.exe



It deletes the initially executed copy of itself.



The following file is created:

– A file that is for temporary use and it might be deleted afterwards:
   • %temporary internet files%\02[1].exe




It tries to download a file:

– The location is the following:
   • http://re**********t.mobi/02.exe
It is saved on the local hard drive under: %SYSDIR%\mxwxc.exe Furthermore this file gets executed after it was fully downloaded. Further investigation pointed out that this file is malware, too. Detected as: TR/Drop.iBill.BD

 Registry The following registry key is added:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


From:
The sender address is spoofed.


Subject:
One of the following:
   • Auflistung der Kosten
   • Amtsgericht Koeln
   • Inkasso

The body of the email is one of the following:

   • Sehr geehrte Damen und Herren
     Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
     Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug
     als "Vattenfallabbuchung " angezeigt.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     Vattenfall Europe AG
     Chausseestra?e 23
     10115 Berlin
     
     Vertretungsberechtigter: Karl Treumeier
     Umsatzsteuerident-Nummer: DR123052388
     Handelsregisternummer HRB 74215B

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.771090603943 ist erfolgt
     Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     
     TESCHINKASSO Forderungsmanagement GmbH
     
     Geschaeftsfuehrer: Siegward Tesch
     Bielsteiner Str. 43 in 51674 Wiehl
     Telefon (0 22 62) 7 11-9
     Telefax (0 22 62) 7 11-806
     
     Ust-ID Nummer: 212 / 5758 / 0635
     
     Amtsgericht Koeln HRB 39598


Attachment:
The filename of the attachment is:
   • Rechnung.zip

The attachment is an archive containing a copy of the malware itself.

 File details Runtime packer:
In order to aggravate detection and reduce size of the file it is packed with a runtime packer.

Description inserted by Thomas Wegele on Friday, October 24, 2008
Description updated by Philipp Wolf on Friday, October 24, 2008

Back . . . .