Nom:TR/Dldr.iBill.V
La date de la découverte:22/02/2007
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Faible
Fichier statique:Oui
Taille du fichier:28.199 Octets
Somme de contrôle MD5:AB42B87EB781389A71B43DD75A423A4C
Version VDF:6.37.1.134
Version IVDF:6.37.1.134

 Général Méthode de propagation:
   • Email


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge des fichiers malveillants
   • Il crée des fichiers

 Fichiers Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




Il essaie de télécharger des fichiers:

– L'emplacement est le suivant:
   • http://marketing-know-how.com/**********get_exe.php?l=
Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

– L'emplacement est le suivant:
   • http://www.coldspread.de/data/**********get_exe.php?l=
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://www.eurowing.us/**********get_exe.php?l=
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://81.95.147.138/**********get_exe.php?l=
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

– L'emplacement est le suivant:
   • http://tncmhg.com/images/**********get_exe.php?l=
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


La clé de registre suivante est ajoutée:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


Le format des emails:
De: "EBay" kundensupport@ebay.de
Sujet: eBay-Hinweis zu geanderter E-Mail-Adresse
Le corps:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
L'attachement:
   • Ebay.zip

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • MEW 11v1.3

Description insérée par Lutz Koch le jeudi 22 février 2007
Description mise à jour par Lutz Koch le mardi 27 février 2007

Retour . . . .