Nom:TR/Dldr.iBill.A
La date de la découverte:07/01/2007
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Élevé
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:9.181 Octets
Somme de contrôle MD5:19a960f2ae534915040Bcb60afaa295f
Version VDF:6.37.00.110
Version IVDF:6.37.00.114 - dimanche 7 janvier 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chaîne de caractères aléatoire%.exe

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WinUpdate = %SYSDIR%\%chaîne de caractères aléatoire%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • WinUpdate = %SYSDIR%\%chaîne de caractères aléatoire%.exe



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\OLE]
   • WinUpdate = %SYSDIR%\%chaîne de caractères aléatoire%.exe

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • WinUpdate = %SYSDIR%\%chaîne de caractères aléatoire%.exe



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Ole]
   La nouvelle valeur:
   • WinUpdate = %SYSDIR%\%chaîne de caractères aléatoire%.exe

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   La nouvelle valeur:
   • WinUpdate = %SYSDIR%\%chaîne de caractères aléatoire%.exe

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


Sujet:
Le suivant:
   • 1&1 Internet AG - Ihre Rechnung %nombre%



Corps:
Le corps de l'email est le suivant:

   • Sehr geehrter 1&1 Kunde,
     
     anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.
     
     Gemäß der erteilten Einzugsermächtigung werden
     wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.
     
     Ihre Rechnung finden Sie als Anhang im
     PDF-EXE-Format. Zum Lesen und Ausdrucken
     benötigen Sie kein zusätzliches Programm!
     
     Fragen zu Ihrer Rechnung beantwortet Ihnen gerne
     unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
     Übrigens: Wir haben unsere Servicezeiten für Sie
     erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.
     
     Mit freundlichen Grüßen
     
     Ihr 1&1 WebHosting-Team
     
     [Dies ist eine automatisch generierte Nachricht,
     bitte antworten Sie nicht an diesen Absender.
     Falls Sie Fragen an den 1&1 Support haben,
     verwenden Sie bitte das Kontaktformular unter www.**********]
     
Le nom de fichier de l'attachement est:
   • Rechnung.pdf.exe

 Porte dérobée Serveur de contact:
Un des suivants::
   • http://www.marketing-know-how.com/bookreview/inc/**********
   • http://www.blingblingventures.com/snake1/uploads/avatars/**********
   • http://www.ronindesigns.net/images/cars/**********
   • http://www.alexkabobhouse.com/images/**********
   • http://testing-one-two.com/editor/**********
   • http://66.235.203.21/~academic/img/**********
   • http://deja-rue.com/mypix/**********



Il envoie de l'information au sujet de:
    • Le statut courant du malware


Capacités d'accès à distance:
    • Télécharger un fichier

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus:
   • svchost.exe


 Détails de fichier Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • FSG

Description insérée par Andrei Gherman le lundi 8 janvier 2007
Description mise à jour par Andrei Gherman le mardi 9 janvier 2007

Retour . . . .