Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Dldr.iBill.BR
La date de la dcouverte:24/11/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.112 Octets
Somme de contrle MD5:b2f27d1b598d46998eda3a12ddfe140e
Version IVDF:7.01.00.130 - lundi 24 novembre 2008

 Gnral Mthode de propagation:
   • Email


Les alias:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Il supprime sa propre copie, excute initialement




Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Ce fichier peut contenir d'autres emplacements de tlchargement et pourrait servir comme source de nouvelles menaces.

 Registre La cl de registre suivante est ajoute:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Il n'a pas sa propre routine de propagation mais il a t envoy comme spam par l'intermdiaire de l'email. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


Sujet:
Le suivant:
   • Abrechnung %plusieurs nombres alatoires de 0 9%



Corps:
Le corps de l'email est le suivant:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%plusieurs nombres alatoires de 0 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


Pice jointe:
Le nom de fichier de l'attachement est:
   • abrechnung.zip

La pice jointe est une archive contenant une copie du virus

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Thomas Wegele le mardi 25 novembre 2008
Description mise à jour par Thomas Wegele le mardi 25 novembre 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.