Virus:TR/Drop.Mudro.CY.67
Date discovered:25/11/2008
Type:Trojan
Subtype:Dropper
In the wild:Yes
Reported Infections:Low
Distribution Potential:Low
Damage Potential:Low to medium
Static file:Yes
File size:98.469 Bytes
MD5 checksum:0a4721716c3052dd87e8627594668267
IVDF version:7.01.00.132 - Tuesday, November 25, 2008

 General Method of propagation:
   • Email


Aliases:
   •  Kaspersky: Trojan-Dropper.Win32.Mudrop.cy
   •  F-Secure: Trojan-Dropper.Win32.Mudrop.cy
   •  Sophos: Troj/Mdrop-BUZ
   •  Panda: Trj/Dropper.WW
   •  Grisoft: BackDoor.Ircbot.GCK
   •  Eset: Win32/TrojanDropper.Agent.AGE trojan
   •  Bitdefender: Trojan.Muldrop.PZN


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Drops a malicious file

 Files The following file is created:

%TEMPDIR%\winnitask.exe Furthermore it gets executed after it was fully created. Further investigation pointed out that this file is malware, too. Detected as: TR/Agent.CWS.33

 Email It doesn't have its own spreading routine but it was spammed out via email. The characteristics are described in the following:


From:
The sender address is spoofed.


Subject:
The following:
   • Hallo von Dagmar



Body:

   • Hallo von Dagmar
     
     Deine Kontakt-Anfrage bei Model-Begleitung habe ich gelesen und
     möchte mich kurz vorstellen.
     
     Diskretion ist von meiner Seite absolut gegeben, ich mache das mal aus
     Neugier und Spaß, habe keine finanziellen Interessen. Möchte mich einfach
     mal nett ausführen lassen und einen schönen Abend verbringen.
     Ich komme aus der Nähe der Ortes, den Du angegeben hast für ein Treffen.
     
     Ich bin 28 Jahre, Angestellte, schlank, lange schöne Haare, gepflegt, aufge-
     schlossen, offen, kontaktfreudig und sehr neugierig. Hängt auch damit zusam-
     men, dass ich zur Zeit in keiner Beziehung bin und keinen Freund habe.
     
     Ich schicke mal ein Bild von mir mit, als gepacktes Format.
     
     Wenn noch Interesse besteht, melde Dich, wenn Du mir Deine Tel. Nummer,
     oder Handy Nummer schreibst, dann kann ich mich nach der Arbeit gern mal
     bei Dir melden.
     
     Bin schon gespannt, Gruß, Dagmar


Attachment:
The filename of the attachment is:
   • Foto-Dagmar__JPG.com

The attachment is a copy of the malware itself.



The email looks like the following:


 File details Programming language:
 The malware program was written in MS Visual C++.

Description inserted by Thomas Wegele on Tuesday, November 25, 2008
Description updated by Thomas Wegele on Tuesday, November 25, 2008

Back . . . .