Nombre:TR/Dldr.iBill.A
Descubierto:07/01/2007
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:9.181 Bytes
Suma de control MD5:19a960f2ae534915040Bcb60afaa295f
Versión del VDF:6.37.00.110
Versión del IVDF:6.37.00.114 - domingo 7 de enero de 2007

 General Método de propagación:
   • No tiene rutina propia de propagación


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WinUpdate = %SYSDIR%\%serie de caracteres aleatorios%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • WinUpdate = %SYSDIR%\%serie de caracteres aleatorios%.exe



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\OLE]
   • WinUpdate = %SYSDIR%\%serie de caracteres aleatorios%.exe

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • WinUpdate = %SYSDIR%\%serie de caracteres aleatorios%.exe



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Nuevo valor:
   • WinUpdate = %SYSDIR%\%serie de caracteres aleatorios%.exe

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Nuevo valor:
   • WinUpdate = %SYSDIR%\%serie de caracteres aleatorios%.exe

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


Asunto:
El siguiente:
   • 1&1 Internet AG - Ihre Rechnung %número%



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Sehr geehrter 1&1 Kunde,
     
     anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.
     
     Gemäß der erteilten Einzugsermächtigung werden
     wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.
     
     Ihre Rechnung finden Sie als Anhang im
     PDF-EXE-Format. Zum Lesen und Ausdrucken
     benötigen Sie kein zusätzliches Programm!
     
     Fragen zu Ihrer Rechnung beantwortet Ihnen gerne
     unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
     Übrigens: Wir haben unsere Servicezeiten für Sie
     erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.
     
     Mit freundlichen Grüßen
     
     Ihr 1&1 WebHosting-Team
     
     [Dies ist eine automatisch generierte Nachricht,
     bitte antworten Sie nicht an diesen Absender.
     Falls Sie Fragen an den 1&1 Support haben,
     verwenden Sie bitte das Kontaktformular unter www.**********]
     
El nombre del fichero adjunto es:
   • Rechnung.pdf.exe

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://www.marketing-know-how.com/bookreview/inc/**********
   • http://www.blingblingventures.com/snake1/uploads/avatars/**********
   • http://www.ronindesigns.net/images/cars/**********
   • http://www.alexkabobhouse.com/images/**********
   • http://testing-one-two.com/editor/**********
   • http://66.235.203.21/~academic/img/**********
   • http://deja-rue.com/mypix/**********



Envía informaciones acerca de:
    • Estado actual del programa viral


Capabilidades de control remoto:
    • Descargar fichero

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • svchost.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Andrei Gherman el lunes 8 de enero de 2007
Descripción actualizada por Andrei Gherman el martes 9 de enero de 2007

Volver . . . .