Nume:TR/Dldr.iBill.BR
Descoperit pe data de:24/11/2008
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:26.112 Bytes
MD5:b2f27d1b598d46998eda3a12ddfe140e
Versiune IVDF:7.01.00.130 - lundi 24 novembre 2008

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca un fisier malware
   • Modificari in registri

 Fisiere Se copiaza in urmatoarea locatie:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Sterge copia initiala a virusului.




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Subiect:
Urmatorul:
   • Abrechnung %cateva numere aleatoare de la 0 la 9%



Corpul email-ului:
Corpul email-ului este:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%cateva numere aleatoare de la 0 la 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


Atasament:
Numele fisierului atasat este urmatorul:
   • abrechnung.zip

Atasamentul este o arhiva ce contine chiar o copie malware.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Thomas Wegele le mardi 25 novembre 2008
Description mise à jour par Thomas Wegele le mardi 25 novembre 2008

Retour . . . .