Nombre:TR/Dldr.iBill.D
Descubierto:23/01/2007
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:26.112 Bytes
Suma de control MD5:3290cb5b8bba270B1cc95030edf1cdbe
Versión del VDF:6.37.00.188
Versión del IVDF:6.37.00.204 - martes 23 de enero de 2007
Eurístico:HEUR/Malware

 General Método de propagación:
   • No tiene rutina propia de propagación


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\ipcbt.exe



Crea el siguiente fichero:

%SYSDIR%\drivers\onut.dat Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ipcbt = %SYSDIR%\ipcbt.exe



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Nuevo valor:
   • zwq = dword:00000001

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


El diseño del mensaje de correo:



De: Gebuehreneinzugszentrale (GEZ) <onlinerechnung@gez.de>
Asunto: Rechnung GEZ 22.2006
Cuerpo del mensaje:
   • Ihre detaillierte GEZ Rechnung von - 22.01.2007
     
     
     Rechnungsnummer %número%
     Kundennummer %número%
     Datum 22.12.2006
     
     
     Bei Rückfragen bitte Kundennummer angeben
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 123,82 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass GEZ mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006 beschlossen, dass fur "Neuartige Rundfunkgerate" (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe von EUR 5,52 zu entrichten ist. Betroffen davon sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet haben.
     www.gez.de/aktuell
     ======================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007
     
     Aufsichtsrat:
     Handelsregister:
      Dr.Klaus Zumwinkel (Vorsitzender)
     Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015
Adjunto:
   • %número%.zip



El mensaje de correo se ve así:


 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://gideonsarmy3.com/gideons_files/**********
   • http://floorsovertexas.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mazal18.com/temp/**********
   • http://gracesanders.com/images/**********
   • http://buckells.co.uk/heidi/**********
   • http://thecorsairs.co.uk/Pics/**********

Una vez contectado, extraerá una lista suplementaria.
De esta forma obtiene el control remoto. La respuesta del servidor queda escrita en el fichero: %SYSDIR%\drivers\onut.dat


Capabilidades de control remoto:
    • Descargar fichero

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Gherman el martes 23 de enero de 2007
Descripción actualizada por Robert Harja Iliescu el lunes 12 de febrero de 2007

Volver . . . .