Nom:TR/Dldr.iBill.AF
La date de la découverte:23/03/2007
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:8.704 Octets
Somme de contrôle MD5:5d9fdc86fbd4aacb044957b3797d7661
Version VDF:6.38.00.105
Version IVDF:6.38.00.107 - vendredi 23 mars 2007

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.bkb
   •  F-Secure: Trojan-Downloader:W32/Small.EJK

Avant, il était détecté comme:
   •  TR/Crypt.CFI.Gen


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers
   • Il modifie des registres

 Fichiers Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat




Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://81.95.147.138/**********/get_exe.php?l=e
   • http://marketing-know-how.com/**********/get_exe.php?l=e
   • http://www.eurowing.us/**********/get_exe.php?l=e
   • http://www.thaitradeshow.com/**********/get_exe.php?l=e
   • http://tncmhg.com/**********/get_exe.php?l=e
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\lr85.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Détecté comme: Worm/SdBot.196017

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


Le format des emails:
De: Rechnungsstelle 1&1 Internet AG (rechnungsstelle@1und1.de)
Sujet: 1&1 Internet AG - Ihre Rechnung 20029770 vom 23.03.2007
Le corps:
   • Ihre Kundennummer: 4338480
     
     Sehr geehrter 1und1 Kunde,
     
     im Rahmen der Mehrwertsteuererhöhung sind wir gesetzlich verpflichtet,
     alle Rechnungen anzupassen, die im Jahr 2006 erstellt wurden und deren
     Abrechnungszeiträume in das Jahr 2007 hineinreichen.
     
     Sie erhalten daher in dieser E-Mail eine Anlage:
     
     - Eine aktualisierte Rechnung, in welcher der Zeitraum des Jahres 2006 mit 16%
     MwSt. und der Zeitraum des Jahres 2007 mit 19% MwSt. ausgewiesen wird
     
     Wir verrechnen diese beiden Belege miteinander. Aus Gutschrift und
     aktualisierter Rechnung ergibt sich somit für Sie ein Differenzbetrag von:
     
     - 493,67 EUR
     
     Ausschließlich der in dieser E-Mail genannte Differenzbetrag wird auf dem
     üblichen Zahlungsweg ausgeglichen.
     
     
     Aktueller Sicherheitshinweis:
     =============================
     Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
     Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
     Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!
     
     Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:
     
     - Sie erhalten echte Rechnungen immer als ZIP Dateien
     - Sie finden immer diesen Sicherheitshinweis darin
     
     
     Weitere Informationen hierzu finden Sie unter: http://www.1und1.de/
     
     Hilfe & Kontakt
     ===============
     Haben Sie noch Fragen zu Ihrer Rechnung? Unsere Mitarbeiter der Rechnungsstelle sind gerne
     für Sie da. Sie erreichen uns montags bis samstags von 08:00 Uhr bis 20:00 Uhr unter 0180 5 051 006 (14 ct/Min.).
     
     Mit freundlichen Grüßen
     Ihr 1&1 WebHosting-Team
     
     Und hier noch ein Tipp, wie Sie mit 1&1 Geld verdienen können:
     
     Melden Sie sich noch heute kostenlos (!!!) als '1&1 ProfiSeller' an
     und empfehlen Sie unsere Produkte Ihren Freunden und Bekannten.
     Für jeden vermittelten Auftrag erhalten Sie attraktive Provisionen von bis zu 160,- EUR!
     
     Mehr Infos unter: http://www.profiseller.de/ps-neu
     
     [Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.]
     
L'attachement:
   • %chaîne de caractères aléatoire de sept digits%.ZIP

Description insérée par Alexander Vukcevic le vendredi 23 mars 2007
Description mise à jour par Alexander Vukcevic le vendredi 23 mars 2007

Retour . . . .