Nome del virus:TR/Dldr.iBill.AJ
Scoperto:23/04/2007
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Alto
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:2.560 Byte
Somma di controllo MD5:f7a109ae6e620ed8d195f085b14f01cb
Versione VDF:6.38.01.19
Versione IVDF:6.38.01.21 - lunedì 23 aprile 2007

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Mcafee: Spy-Agent.ba.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.bh
   •  F-Secure: Trojan-Downloader:W32/Nurech.BI
   •  Sophos: Troj/Dloadr-AXM


Piattaforma / Sistema operativo:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”

 File Prova a scaricare un file:

– La posizione è la seguente:
   • http://souljah.com/**********/ie.exe
Viene salvato in locale sotto: %WINDIR%\1696195766.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/iBill.AJ

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Design dell'email:
Da: "cleverbridge/Avira GmbH." list@cleverbridge.com
Oggetto: Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Corpo della mail:
   • Vielen Dank für Ihre Bestellung bei cleverbridge.
     
     cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.
     
     Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.
     
     Ihre cleverbridge Referenznummer: 595169
     
     
     Zahlungsinformationen
     
     Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von "www.avira.com" erscheinen wird.
     
     Ihre Produkte
     
     Menge Produktname Auslieferung
     1 Avira AntiVir PersonalEdition Premium - 5 JahreLizenzlaufzeit 5 Jahre elektronisch
     Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner "Eigene Dateien"
     Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren.
     
     Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:
     
     Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
     Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter:
     Avira AntiVir PersonalEdition Premium herunterladen
     Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner "Eigene Dateien". Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
     Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen:
     Installationsanleitung anzeigen
     WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
     1 Zuwendung an die Auerbach Stiftung
     
     Ihre Rechnung
     
     Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
     Ihre Rechnung
     
     Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den "Adobe Acrobat Reader", um es öffen zu können. Sollte der "Adobe Acrobat Reader" nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.
     
     Fragen oder Anregungen?
     
     Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
     Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
     Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html
     
     Mit freundlichen Grüßen,
     Ihr cleverbridge Kundenserviceteam
Allegato:
   • 5951693.zip

 Come il virus si inserisce nei processi – Inserisce una procedura di backdoor in un processo.

    Nome del processo:
   • ntdll.dll,NtCreateThread() in order to bypass security tools.
      NtCreateThread() downloads the malicious file.


Descrizione inserita da Dennis Elser su lunedì 23 aprile 2007
Descrizione aggiornata da Alexander Vukcevic su lunedì 23 aprile 2007

Indietro . . . .