Nom:TR/Dldr.iBill.D
La date de la découverte:23/01/2007
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.112 Octets
Somme de contrôle MD5:3290cb5b8bba270B1cc95030edf1cdbe
Version VDF:6.37.00.188
Version IVDF:6.37.00.204 - mardi 23 janvier 2007
L'heuristique:HEUR/Malware

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers
   • Il crée un fichier
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur


Immédiatement après l'exécution l'information suivante est affichée:


 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\ipcbt.exe



Le fichier suivant est créé:

%SYSDIR%\drivers\onut.dat Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ipcbt = %SYSDIR%\ipcbt.exe



La clé de registre suivante est changée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   La nouvelle valeur:
   • zwq = dword:00000001

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


Le format des emails:
 


De: Gebuehreneinzugszentrale (GEZ) <onlinerechnung@gez.de>
Sujet: Rechnung GEZ 22.2006
Le corps:
   • Ihre detaillierte GEZ Rechnung von - 22.01.2007
     
     
     Rechnungsnummer %nombre%
     Kundennummer %nombre%
     Datum 22.12.2006
     
     
     Bei Rückfragen bitte Kundennummer angeben
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 123,82 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass GEZ mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006 beschlossen, dass fur "Neuartige Rundfunkgerate" (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe von EUR 5,52 zu entrichten ist. Betroffen davon sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet haben.
     www.gez.de/aktuell
     ======================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007
     
     Aufsichtsrat:
     Handelsregister:
      Dr.Klaus Zumwinkel (Vorsitzender)
     Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015
L'attachement:
   • %nombre%.zip



L'email ressemble à celui-ci:


 Porte dérobée Serveur de contact:
Tous les suivants:
   • http://gideonsarmy3.com/gideons_files/**********
   • http://floorsovertexas.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mazal18.com/temp/**********
   • http://gracesanders.com/images/**********
   • http://buckells.co.uk/heidi/**********
   • http://thecorsairs.co.uk/Pics/**********

Aussi tôt que la connexion est établi, une liste complémentaire avec des Server se trouve.
En conséquence la possibilité de contrôle à distance est fournie. Le réponse du serveur est écrit dans le fichier: %SYSDIR%\drivers\onut.dat


Capacités d'accès à distance:
    • Télécharger un fichier

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.

Description insérée par Andrei Gherman le mardi 23 janvier 2007
Description mise à jour par Robert Harja Iliescu le lundi 12 février 2007

Retour . . . .