Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:TR/Dldr.iBill.BR
La date de la découverte:24/11/2008
Type:Cheval de Troie
Sous type:Downloader
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:26.112 Octets
Somme de contrôle MD5:b2f27d1b598d46998eda3a12ddfe140e
Version IVDF:7.01.00.130 - lundi 24 novembre 2008

 Général Méthode de propagation:
   • Email


Les alias:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Il supprime sa propre copie, exécutée initialement




Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

 Registre La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


Sujet:
Le suivant:
   • Abrechnung %plusieurs nombres aléatoires de 0 à 9%



Corps:
Le corps de l'email est le suivant:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%plusieurs nombres aléatoires de 0 à 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


Pièce jointe:
Le nom de fichier de l'attachement est:
   • abrechnung.zip

La pièce jointe est une archive contenant une copie du virus

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Thomas Wegele le mardi 25 novembre 2008
Description mise à jour par Thomas Wegele le mardi 25 novembre 2008

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.