TR/Dldr.iBill.AJ - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Dldr.iBill.AJ
Descubierto:	23/04/2007
Tipo:	Troyano
Subtipo:	Downloader
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Alto
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	2.560 Bytes
Suma de control MD5:	f7a109ae6e620ed8d195f085b14f01cb
Versión del VDF:	6.38.01.19
Versión del IVDF:	6.38.01.21

General Método de propagación:
   • Correo electrónico

Alias:
   • Mcafee: Spy-Agent.ba.dldr
   • Kaspersky: Trojan-Downloader.Win32.Nurech.bh
   • F-Secure: Trojan-Downloader:W32/Nurech.BI
   • Sophos: Troj/Dloadr-AXM

Plataforma / Sistema operativo:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero dañino

Ficheros Intenta descargar un fichero:

– La dirección es la siguiente:
• http://souljah.com/**********/ie.exe
El fichero está guardado en el disco duro en: %WINDIR%\1696195766.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/iBill.AJ

Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:

El diseño del mensaje de correo:
De: "cleverbridge/Avira GmbH." list@cleverbridge.com
Asunto: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Cuerpo del mensaje:
   • Vielen Dank für Ihre Bestellung bei cleverbridge.

     cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

     Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

     Ihre cleverbridge Referenznummer: 595169


     Zahlungsinformationen

     Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von "www.avira.com" erscheinen wird.

     Ihre Produkte

     Menge Produktname Auslieferung
     1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
     Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner "Eigene Dateien"
     Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.

     Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

     Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
     Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
     Avira AntiVir PersonalEdition Premium herunterladen
     Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner "Eigene Dateien". Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
     Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
     Installationsanleitung anzeigen
     WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
     1 Zuwendung an die Auerbach Stiftung

     Ihre Rechnung

     Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
     Ihre Rechnung

     Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den "Adobe Acrobat Reader", um es öffen zu können. Sollte der "Adobe Acrobat Reader" nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

     Fragen oder Anregungen?

     Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
     Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
     Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

     Mit freundlichen Grüßen,
     Ihr cleverbridge Kundenserviceteam
Adjunto:
   • 5951693.zip

Inyectar el código viral en otros procesos – Inyecta una rutina de puerta trasera (backdoor) en un proceso.

    Nombre del proceso:
   • ntdll.dll,NtCreateThread() in order to bypass security tools.
      NtCreateThread() downloads the malicious file.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Dennis Elser el Mon, 23 Apr 2007 07:32 (GMT+1)
Descripción actualizada por Alexander Vukcevic el Mon, 23 Apr 2007 10:12 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver