Nume:TR/Dldr.iBill.BD
Descoperit pe data de:24/10/2008
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu
Fisier static:Da
Marime:33.792 Bytes
MD5:57127815d6864a495151e49c7bf7d192
Versiune IVDF:7.00.07.83 - viernes 24 de octubre de 2008

 General Metode de raspandire:
   • Email


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Worm.Win32.Downloader.wh
   •  F-Secure: Worm:W32/AutoRun.IT
   •  Sophos: Troj/Agent-IAJ
   •  Grisoft: Pakes.AJY
   •  Eset: Win32/TrojanDownloader.Agent.OJX trojan
   •  Bitdefender: Win32.Worm.Autorun.NT

Initial identificat ca:
   •  TR/Dropper.Gen


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Microsoft common\svchost.exe



Sterge copia initiala a virusului.



Este creat fisierul:

– Un fisier temporar care poate fi sters dupa aceea:
   • %temporary internet files%\02[1].exe




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://re**********t.mobi/02.exe
Fisierul este stocat pe hard disc la: %SYSDIR%\mxwxc.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Drop.iBill.BD

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Unul din urmatoarele:
   • Auflistung der Kosten
   • Amtsgericht Koeln
   • Inkasso

Corpul email-ului este unul din textele:

   • Sehr geehrte Damen und Herren
     Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
     Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug
     als "Vattenfallabbuchung " angezeigt.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     Vattenfall Europe AG
     Chausseestra?e 23
     10115 Berlin
     
     Vertretungsberechtigter: Karl Treumeier
     Umsatzsteuerident-Nummer: DR123052388
     Handelsregisternummer HRB 74215B

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.771090603943 ist erfolgt
     Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     
     TESCHINKASSO Forderungsmanagement GmbH
     
     Geschaeftsfuehrer: Siegward Tesch
     Bielsteiner Str. 43 in 51674 Wiehl
     Telefon (0 22 62) 7 11-9
     Telefax (0 22 62) 7 11-806
     
     Ust-ID Nummer: 212 / 5758 / 0635
     
     Amtsgericht Koeln HRB 39598


Atasament:
Numele fisierului atasat este urmatorul:
   • Rechnung.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Descripción insertada por Thomas Wegele el viernes 24 de octubre de 2008
Descripción actualizada por Philipp Wolf el viernes 24 de octubre de 2008

Volver . . . .