TR/Dldr.iBill.AJ - Trojan

A voir aussi

Brève description

Description complète

Statistiques

Nom:	TR/Dldr.iBill.AJ
La date de la découverte:	23/04/2007
Type:	Cheval de Troie
Sous type:	Downloader
En circulation:	Oui
Infections signalées	Élevé
Potentiel de distribution:	Moyen
Potentiel de destruction:	Moyen
Fichier statique:	Oui
Taille du fichier:	2.560 Octets
Somme de contrôle MD5:	f7a109ae6e620ed8d195f085b14f01cb
Version VDF:	6.38.01.19
Version IVDF:	6.38.01.21

Général Méthode de propagation:
   • Email

Les alias:
   • Mcafee: Spy-Agent.ba.dldr
   • Kaspersky: Trojan-Downloader.Win32.Nurech.bh
   • F-Secure: Trojan-Downloader:W32/Nurech.BI
   • Sophos: Troj/Dloadr-AXM

La plateforme / le système d'exploitation:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il télécharge un fichier malveillant

Fichiers Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://souljah.com/**********/ie.exe
Il est sauvegardé sur le disque dur local à l'emplacement: %WINDIR%\1696195766.exe Ensuite, ce fichier est exécuté après avoir été completment téléchargé. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/iBill.AJ

Email Il n'a pas sa propre routine de propagation mais il a été envoyé comme spam par l'intermédiaire de l'email. Les caractéristiques sont décrites ci-dessous:

Le format des emails:
De: "cleverbridge/Avira GmbH." list@cleverbridge.com
Sujet: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Le corps:
   • Vielen Dank für Ihre Bestellung bei cleverbridge.

     cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

     Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

     Ihre cleverbridge Referenznummer: 595169


     Zahlungsinformationen

     Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von "www.avira.com" erscheinen wird.

     Ihre Produkte

     Menge Produktname Auslieferung
     1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
     Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner "Eigene Dateien"
     Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.

     Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

     Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
     Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
     Avira AntiVir PersonalEdition Premium herunterladen
     Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner "Eigene Dateien". Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
     Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
     Installationsanleitung anzeigen
     WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
     1 Zuwendung an die Auerbach Stiftung

     Ihre Rechnung

     Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
     Ihre Rechnung

     Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den "Adobe Acrobat Reader", um es öffen zu können. Sollte der "Adobe Acrobat Reader" nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

     Fragen oder Anregungen?

     Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
     Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
     Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

     Mit freundlichen Grüßen,
     Ihr cleverbridge Kundenserviceteam
L'attachement:
   • 5951693.zip

L'injection du code viral dans d'autres processus – Il injecte une routine porte dérobée dans un processus:

    Nom du processus:
   • ntdll.dll,NtCreateThread() in order to bypass security tools.
      NtCreateThread() downloads the malicious file.

Voir la description brève ici.

Description inséré par Dennis Elser sur Mon, 23 Apr 2007 07:32 (GMT+1)
Description mise à jour par Alexander Vukcevic sur Mon, 23 Apr 2007 10:12 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« Retour