TR/Dldr.iBill.AF - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.iBill.AF
La date de la découverte:	23/03/2007
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Moyen
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	8.704 Octets
Somme de contrôle MD5:	5d9fdc86fbd4aacb044957b3797d7661
Version VDF:	6.38.00.105
Version IVDF:	6.38.00.107

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan-Downloader.Win32.Agent.bkb
   • F-Secure: Trojan-Downloader:W32/Small.EJK

Avant, il était détecté comme:
   • TR/Crypt.CFI.Gen

Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il crée des fichiers
   • Il modifie des registres

Fichiers Les fichiers suivants sont créés:

– Fichiers inoffensifs:
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat
   • %ALLUSERSPROFILE%\application data\microsoft\network\downloader\qmgr0.dat

Il essaie de télécharger un ficher:

– Les emplacements sont les suivants:
   • http://81.95.147.138/**********/get_exe.php?l=e
   • http://marketing-know-how.com/**********/get_exe.php?l=e
   • http://www.eurowing.us/**********/get_exe.php?l=e
   • http://www.thaitradeshow.com/**********/get_exe.php?l=e
   • http://tncmhg.com/**********/get_exe.php?l=e
Il est sauvegardé sur le disque dur local à l'emplacement: %SYSDIR%\lr85.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Détecté comme: Worm/SdBot.196017

Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: Rechnungsstelle 1&1 Internet AG (rechnungsstelle@1und1.de)
Sujet: 1&1 Internet AG - Ihre Rechnung 20029770 vom 23.03.2007
Le corps:
   • Ihre Kundennummer: 4338480

     Sehr geehrter 1und1 Kunde,

     im Rahmen der Mehrwertsteuererhöhung sind wir gesetzlich verpflichtet,
     alle Rechnungen anzupassen, die im Jahr 2006 erstellt wurden und deren
     Abrechnungszeiträume in das Jahr 2007 hineinreichen.

     Sie erhalten daher in dieser E-Mail eine Anlage:

     - Eine aktualisierte Rechnung, in welcher der Zeitraum des Jahres 2006 mit 16%
     MwSt. und der Zeitraum des Jahres 2007 mit 19% MwSt. ausgewiesen wird

     Wir verrechnen diese beiden Belege miteinander. Aus Gutschrift und
     aktualisierter Rechnung ergibt sich somit für Sie ein Differenzbetrag von:

     - 493,67 EUR

     Ausschließlich der in dieser E-Mail genannte Differenzbetrag wird auf dem
     üblichen Zahlungsweg ausgeglichen.


     Aktueller Sicherheitshinweis:
     =============================
     Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
     Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
     Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!

     Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:

     - Sie erhalten echte Rechnungen immer als ZIP Dateien
     - Sie finden immer diesen Sicherheitshinweis darin


     Weitere Informationen hierzu finden Sie unter: http://www.1und1.de/

     Hilfe & Kontakt
     ===============
     Haben Sie noch Fragen zu Ihrer Rechnung? Unsere Mitarbeiter der Rechnungsstelle sind gerne
     für Sie da. Sie erreichen uns montags bis samstags von 08:00 Uhr bis 20:00 Uhr unter 0180 5 051 006 (14 ct/Min.).

     Mit freundlichen Grüßen
     Ihr 1&1 WebHosting-Team

     Und hier noch ein Tipp, wie Sie mit 1&1 Geld verdienen können:

     Melden Sie sich noch heute kostenlos (!!!) als '1&1 ProfiSeller' an
     und empfehlen Sie unsere Produkte Ihren Freunden und Bekannten.
     Für jeden vermittelten Auftrag erhalten Sie attraktive Provisionen von bis zu 160,- EUR!

     Mehr Infos unter: http://www.profiseller.de/ps-neu

     [Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.]

L'attachement:
   • %chaîne de caractères aléatoire de sept digits%.ZIP

Voir la description brève ici.

Description inséré par Alexander Vukcevic sur Fri, 23 Mar 2007 11:41 (GMT+1)
Description mise à jour par Alexander Vukcevic sur Fri, 23 Mar 2007 13:12 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour