Nome del virus:TR/Dldr.iBill.V
Scoperto:22/02/2007
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Basso
File statico:Si
Dimensione del file:28.199 Byte
Somma di controllo MD5:AB42B87EB781389A71B43DD75A423A4C
Versione VDF:6.37.1.134
Versione IVDF:6.37.1.134

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file “maligni”
   • Duplica file

 File Vengono creati i seguenti file:

– File “non maligni”:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://marketing-know-how.com/**********get_exe.php?l=
Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

– La posizione è la seguente:
   • http://www.coldspread.de/data/**********get_exe.php?l=
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://www.eurowing.us/**********get_exe.php?l=
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://81.95.147.138/**********get_exe.php?l=
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
Al momento dell'analisi questo file non era più disponibile.

– La posizione è la seguente:
   • http://tncmhg.com/images/**********get_exe.php?l=
Al momento dell'analisi questo file non era più disponibile.

 Registro Le seguenti chiavi di registro vengono aggiunte per caricare il servizio dopo il riavvio:

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


Viene aggiunta la seguente chiave di registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Design dell'email:
Da: "EBay" kundensupport@ebay.de
Oggetto: eBay-Hinweis zu geanderter E-Mail-Adresse
Corpo della mail:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
Allegato:
   • Ebay.zip

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • MEW 11v1.3

Descrizione inserita da Lutz Koch su giovedì 22 febbraio 2007
Descrizione aggiornata da Lutz Koch su martedì 27 febbraio 2007

Indietro . . . .