Nom:TR/Drop.iBill.BD
La date de la découverte:24/10/2008
Type:Cheval de Troie
Sous type:Dropper
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:45.297 Octets
Somme de contrôle MD5:b8750fa07487b47dc6e1ae54347ddbcb
Version IVDF:7.00.07.83 - vendredi 24 octobre 2008

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Eset: Win32/Agent.OIR trojan
   •  Bitdefender: Trojan.Agent.AKSV


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\%chaîne de caractères aléatoire de sept digits%.exe



Il supprime sa propre copie, exécutée initialement



Le fichier suivant est créé:

– Fichier inoffensif:
   • %SYSDIR%\%chaîne de caractères aléatoire de six digits%

%SYSDIR%\%chaîne de caractères aléatoire de huit digits%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Runner.BG

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %chaîne de caractères aléatoire de neuf digits%]
   • Startup="%chaîne de caractères aléatoire de 10 digits% "
   • DLLName="%ficher dll viral%"
   • Impersonate=dword:00000000
   • Asynchronous=dword:00000001

 Porte dérobée Serveur de contact:
Le suivant:
   • re**********t.mobi

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la méthode HTTP POST en utilisant un script PHP.


Il envoie de l'information au sujet de:
    • Les informations rassemblées, décrites dans la section

 Vol d'informations Il essaie de voler l'information suivante:

– Les mots de passe des programmes suivants:
   • thebat.exe
   • msimn.exe
   • iexplore.exe
   • myie.exe
   • firefox.exe

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le vendredi 24 octobre 2008
Description mise à jour par Philipp Wolf le vendredi 24 octobre 2008

Retour . . . .