TR/Dldr.iBill.C - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Dldr.iBill.C
Descubierto:	14/01/2007
Tipo:	Troyano
Subtipo:	Downloader
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	14.336 Bytes
Suma de control MD5:	9b4a8b6d019dd25a70b118b7393eb18b
Versión del VDF:	6.37.00.150
Versión del IVDF:	6.37.00.160

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: Downloader-AAP trojan
   • Kaspersky: Trojan-Downloader.Win32.Small.efe
   • F-Secure: Trojan-Downloader.Win32.Small.efe
   • Sophos: Troj/DwnLdr-FXW
   • Eset: Win32/TrojanDownloader.Nurech.G

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Posibilita el acceso no autorizado al ordenador

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Crea el siguiente fichero:

– %SYSDIR%\drivers\onut.dat This file may contain further download locations (es)

Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:

De:
La dirección del remitente es falsa.

El diseño del mensaje de correo:
De: GEZ Rechnung
Asunto: Ihre GEZ Rechnung
Cuerpo del mensaje:
   • Rechnungsnummer %número%
     Kundennummer %número%
     Datum %fecha actual%
     Bei Rückfragen bitte Kundennummer angeben


     Sehr geehrter GEZ Kunde,

     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 445,99 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen
     Zuschlag beinhaltet, der durch das nicht
     rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als
     Genehmigung. Weitere Informationen zum
     Widerspruch finden ebenfalls im beigefügten Dokument.

     Sind Sie Unternehmer und benötigen unsere
     Rechnung zur Geltendmachung von Vorsteuerabzug?
     Bitte beachten Sie dann, dass Sie seit 29.12.2004
     die Möglichkeit haben, Ihre Rechnung per E-Mail
     mit einer qualifizierten elektronischen Signatur
     zu erhalten. Sie konnen diese im Bereich
     "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen
     zusätzlich beauftragte Rechnung in Papierform zum
     Vorsteuerabzug vorgelegt haben, bitten wir
     auserdem zu beachten, dass wir Ihnen diese nur
     noch in Form eines "Rechungsdoppels" bieten
     können, da nur so vermieden werden kann, dass GEZ
     mehrere Rechnungsoriginale ausstellt.

     Antworten auf Ihre weiteren Fragen zur digitalen
     Signatur finden Sie auch in unseren FAQs unter
     dem Stichwort "Digitale Signatur".
     ========================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006
     beschlossen, dass fur "Neuartige Rundfunkgerate"
     (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe
     von EUR 5,52 zu entrichten ist. Betroffen davon
     sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet=haben.
     www.gez.de/aktuell
     ========================================

     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------

     © Gebuhreneinzugszentrale 2007

Archivo adjunto:
El nombre del fichero adjunto es uno de los siguientes:
   • Rechnung.pdf.exe
   • Rechnung_GEZ.zip

Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://gracesanders.com/images/**********
   • http://mazal18.com/temp/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mgldesigns.com/mhat/pagetemplate_files/**********
   • http://ipodtopten.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://floridanewhomeindex.com/images/**********
   • http://floorsovertexas.com/images/**********
   • http://gideonsarmy3.com/gideons_files/**********
   • http://giami.org/img/**********

Una vez contectado, extraerá una lista suplementaria.
De esta forma obtiene el control remoto. La respuesta del servidor queda escrita en el fichero: %SYSDIR%\drivers\onut.dat

Capabilidades de control remoto:
    • Descargar fichero

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 16 Jan 2007 12:54 (GMT+1)
Descripción actualizada por Andrei Gherman el Tue, 16 Jan 2007 13:27 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver