Nombre:TR/Dldr.iBill.AJ
Descubierto:23/04/2007
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Alto
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:2.560 Bytes
Suma de control MD5:f7a109ae6e620ed8d195f085b14f01cb
Versión del VDF:6.38.01.19
Versión del IVDF:6.38.01.21 - lunes 23 de abril de 2007

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Mcafee: Spy-Agent.ba.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.bh
   •  F-Secure: Trojan-Downloader:W32/Nurech.BI
   •  Sophos: Troj/Dloadr-AXM


Plataforma / Sistema operativo:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino

 Ficheros Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://souljah.com/**********/ie.exe
El fichero está guardado en el disco duro en: %WINDIR%\1696195766.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/iBill.AJ

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


El diseño del mensaje de correo:
De: "cleverbridge/Avira GmbH." list@cleverbridge.com
Asunto: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Cuerpo del mensaje:
   • Vielen Dank für Ihre Bestellung bei cleverbridge.
     
     cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.
     
     Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.
     
     Ihre cleverbridge Referenznummer: 595169
     
     
     Zahlungsinformationen
     
     Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von "www.avira.com" erscheinen wird.
     
     Ihre Produkte
     
     Menge Produktname Auslieferung
     1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
     Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner "Eigene Dateien"
     Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.
     
     Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:
     
     Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
     Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
     Avira AntiVir PersonalEdition Premium herunterladen
     Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner "Eigene Dateien". Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
     Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
     Installationsanleitung anzeigen
     WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
     1 Zuwendung an die Auerbach Stiftung
     
     Ihre Rechnung
     
     Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
     Ihre Rechnung
     
     Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den "Adobe Acrobat Reader", um es öffen zu können. Sollte der "Adobe Acrobat Reader" nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.
     
     Fragen oder Anregungen?
     
     Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
     Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
     Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html
     
     Mit freundlichen Grüßen,
     Ihr cleverbridge Kundenserviceteam
Adjunto:
   • 5951693.zip

 Inyectar el código viral en otros procesos – Inyecta una rutina de puerta trasera (backdoor) en un proceso.

    Nombre del proceso:
   • ntdll.dll,NtCreateThread() in order to bypass security tools.
      NtCreateThread() downloads the malicious file.


Descripción insertada por Dennis Elser el lunes 23 de abril de 2007
Descripción actualizada por Alexander Vukcevic el lunes 23 de abril de 2007

Volver . . . .