Nombre:TR/Dldr.iBill.V
Descubierto:22/02/2007
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Bajo
Fichero estático:
Tamaño:28.199 Bytes
Suma de control MD5:AB42B87EB781389A71B43DD75A423A4C
Versión del VDF:6.37.1.134
Versión del IVDF:6.37.1.134

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros

 Ficheros Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://marketing-know-how.com/**********get_exe.php?l=
Los análisis adicionales indicaron que este fichero es también viral.

– La dirección es la siguiente:
   • http://www.coldspread.de/data/**********get_exe.php?l=
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://www.eurowing.us/**********get_exe.php?l=
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://81.95.147.138/**********get_exe.php?l=
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • http://tncmhg.com/images/**********get_exe.php?l=
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


Añade la siguiente clave al registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


El diseño del mensaje de correo:
De: "EBay" kundensupport@ebay.de
Asunto: eBay-Hinweis zu geanderter E-Mail-Adresse
Cuerpo del mensaje:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
Adjunto:
   • Ebay.zip

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW 11v1.3

Descripción insertada por Lutz Koch el jueves 22 de febrero de 2007
Descripción actualizada por Lutz Koch el martes 27 de febrero de 2007

Volver . . . .