Nome del virus:TR/Dldr.iBill.D
Scoperto:23/01/2007
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:26.112 Byte
Somma di controllo MD5:3290cb5b8bba270B1cc95030edf1cdbe
Versione VDF:6.37.00.188
Versione IVDF:6.37.00.204 - martedì 23 gennaio 2007
Euristico:HEUR/Malware

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file
   • Duplica un file
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • %SYSDIR%\ipcbt.exe



Viene creato il seguente file:

%SYSDIR%\drivers\onut.dat Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ipcbt = %SYSDIR%\ipcbt.exe



Viene cambiata la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Nuovo valore:
   • zwq = dword:00000001

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Design dell'email:



Da: Gebuehreneinzugszentrale (GEZ) <onlinerechnung@gez.de>
Oggetto: Rechnung GEZ 22.2006
Corpo della mail:
   • Ihre detaillierte GEZ Rechnung von - 22.01.2007
     
     
     Rechnungsnummer %numero%
     Kundennummer %numero%
     Datum 22.12.2006
     
     
     Bei Rückfragen bitte Kundennummer angeben
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 123,82 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass GEZ mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006 beschlossen, dass fur "Neuartige Rundfunkgerate" (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe von EUR 5,52 zu entrichten ist. Betroffen davon sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet haben.
     www.gez.de/aktuell
     ======================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007
     
     Aufsichtsrat:
     Handelsregister:
      Dr.Klaus Zumwinkel (Vorsitzender)
     Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015
Allegato:
   • %numero%.zip



L’email si presenta come di seguito:


 Backdoor Contatta il server:
Tutti i seguenti:
   • http://gideonsarmy3.com/gideons_files/**********
   • http://floorsovertexas.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mazal18.com/temp/**********
   • http://gracesanders.com/images/**********
   • http://buckells.co.uk/heidi/**********
   • http://thecorsairs.co.uk/Pics/**********

Una volta connesso recupera una lista di server supplementare.
Come risultato viene fornita la capacità di controllare da remoto. La risposta dei server è scritta nel file: %SYSDIR%\drivers\onut.dat


Capacità di controllo remoto:
    • Download di file

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.

Descrizione inserita da Andrei Gherman su martedì 23 gennaio 2007
Descrizione aggiornata da Robert Harja Iliescu su lunedì 12 febbraio 2007

Indietro . . . .