Nome del virus:TR/Dldr.iBill.A
Scoperto:07/01/2007
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:9.181 Byte
Somma di controllo MD5:19a960f2ae534915040Bcb60afaa295f
Versione VDF:6.37.00.110
Versione IVDF:6.37.00.114 - domenica 7 gennaio 2007

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa di caratteri casuale%.exe

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WinUpdate = %SYSDIR%\%stringa di caratteri casuale%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • WinUpdate = %SYSDIR%\%stringa di caratteri casuale%.exe



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\OLE]
   • WinUpdate = %SYSDIR%\%stringa di caratteri casuale%.exe

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • WinUpdate = %SYSDIR%\%stringa di caratteri casuale%.exe



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Nuovo valore:
   • WinUpdate = %SYSDIR%\%stringa di caratteri casuale%.exe

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Nuovo valore:
   • WinUpdate = %SYSDIR%\%stringa di caratteri casuale%.exe

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Oggetto:
Il seguente:
   • 1&1 Internet AG - Ihre Rechnung %numero%



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Sehr geehrter 1&1 Kunde,
     
     anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.
     
     Gemäß der erteilten Einzugsermächtigung werden
     wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.
     
     Ihre Rechnung finden Sie als Anhang im
     PDF-EXE-Format. Zum Lesen und Ausdrucken
     benötigen Sie kein zusätzliches Programm!
     
     Fragen zu Ihrer Rechnung beantwortet Ihnen gerne
     unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
     Übrigens: Wir haben unsere Servicezeiten für Sie
     erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.
     
     Mit freundlichen Grüßen
     
     Ihr 1&1 WebHosting-Team
     
     [Dies ist eine automatisch generierte Nachricht,
     bitte antworten Sie nicht an diesen Absender.
     Falls Sie Fragen an den 1&1 Support haben,
     verwenden Sie bitte das Kontaktformular unter www.**********]
     
Il nome del file allegato è:
   • Rechnung.pdf.exe

 Backdoor Contatta il server:
Uno dei seguenti:
   • http://www.marketing-know-how.com/bookreview/inc/**********
   • http://www.blingblingventures.com/snake1/uploads/avatars/**********
   • http://www.ronindesigns.net/images/cars/**********
   • http://www.alexkabobhouse.com/images/**********
   • http://testing-one-two.com/editor/**********
   • http://66.235.203.21/~academic/img/**********
   • http://deja-rue.com/mypix/**********



Invia informazioni riguardanti:
    • Stato corrente del malware


Capacità di controllo remoto:
    • Download di file

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • svchost.exe


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Andrei Gherman su lunedì 8 gennaio 2007
Descrizione aggiornata da Andrei Gherman su martedì 9 gennaio 2007

Indietro . . . .