TR/Dldr.iBill.Z - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.iBill.Z
La date de la découverte:	07/03/2007
Type:	Ver
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Moyen à élevé
Potentiel de distribution:	Moyen
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	16.896 Octets
Somme de contrôle MD5:	9e3cb288b54f8d654df29cc004815504
Version VDF:	6.38.00.11
Version IVDF:	6.38.00.11

Général Méthode de propagation:
   • Email

L'alias:
   • Mcafee: Downloader-AAP

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée un fichier

Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\isca.exe

Le fichier suivant est créé:

– Fichier inoffensif:
   • %SYSDIR%\drivers\wed.tx

Il essaie de télécharger des fichiers:

– Les emplacements sont les suivants:
   • http://floorsovertexas.com/**********
   • http://graceinthedesert.org/**********
   • http://northernsoulclub.com/**********
   • http://starcleaningservice.com.au/**********
   • http://grantc.com/**********
   • http://intercitiprojects.com.au/**********
   • http://invitech.net/**********
   • http://releaseforlife.com/**********
Ce fichier peut contenir d'autres emplacements de téléchargement et pourrait servir comme source à de nouvelles menaces.

– L'emplacement est le suivant:
   • http://smartpod.com.au/zynergy/home/10.exe
Les investigations ultérieures ont prouvé que ce ficher est également un Malware.

Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "ShellN"="isca.exe"

La clé de registre suivante est ajoutée:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• "wef"=dword:00000037

Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: "Quelle de" is_as0@quelle.de
Sujet: Ihre Quelle Bestellung
Le corps:
   • **************www.quelle.de***************

     Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom 06.03.2007 um 12:46 Uhr:

     Vorgangs-ID: 611661716631
     Verarbeitungscode: ART 0805491165855906868717073885505998909

     Kundennummer: 469391344
     ------------------------------------------------------------------------------

     Sehr geehrte Quelle Kunde,

     vielen Dank für Ihre Bestellung bei www.quelle.de.

     Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.

     die Gesamtsumme fär Ihre Rechnung beträgt: 1071,46 Euro (incl. Versandspesen: EUR 5,95)
     Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

     Zahlungswunsch: Bankeinzug
     Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
     Ihre Rechnung ist im PDF-Format erstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden
     Verifikationsbericht finden Sie im Anhang dieser E-Mail.
     Durch die "Digitale Signatur" wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

     Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH

     Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik "Mein Konto/Bestellübersicht" in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an:
     http://www.quelle.de/extern.cgi?id=611661716631

     Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
     Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html

     Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
     und die Signatur zu prüfen.

     Ihr Quelle Online Team

     ------------------------------------------------------------------------------

     Wir bedanken uns nochmals für Ihre Bestellung.
     Schauen Sie doch bald wieder einmal bei www.quelle.de vorbei.

     Bestätigungs-ID: 469391344 (für interne Zwecke)

     Stempelkarte
     Jetzt anmelden & profitieren!

     http://www.quelle.de/extern.cgi?id=611661716631

     ****************************www.quelle.de********************************

L'attachement:
   • Quelle_Rechnung_nqan599.rar

Voir la description brève ici.

Description inséré par Dennis Elser sur Wed, 07 Mar 2007 08:44 (GMT+1)
Description mise à jour par Alexander Vukcevic sur Wed, 07 Mar 2007 11:22 (GMT+1)

» À propos des logiciels malveillants
» À propos de l'hameçonnage
» Virus "in the Wild"

« Retour