Nome del virus:TR/Drop.iBill.BD
Scoperto:24/10/2008
Tipo:Trojan
Sottotipo:Dropper
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:45.297 Byte
Somma di controllo MD5:b8750fa07487b47dc6e1ae54347ddbcb
Versione IVDF:7.00.07.83 - venerdì 24 ottobre 2008

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Eset: Win32/Agent.OIR trojan
   •  Bitdefender: Trojan.Agent.AKSV


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\%stringa casuale di sette caratteri%.exe



Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

– File “non maligno”:
   • %SYSDIR%\%stringa casuale di sei caratteri%

%SYSDIR%\%stringa casuale di otto caratteri%.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Runner.BG

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %stringa casuale di nove caratteri%]
   • Startup="%stringa di 10 caratteri casuali%"
   • DLLName="%dll del malware%"
   • Impersonate=dword:00000000
   • Asynchronous=dword:00000001

 Backdoor Contatta il server:
Il seguente:
   • re**********t.mobi

Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.


Invia informazioni riguardanti:
    • Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte

 Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:

– Le password dai seguenti programmi:
   • thebat.exe
   • msimn.exe
   • iexplore.exe
   • myie.exe
   • firefox.exe

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su venerdì 24 ottobre 2008
Descrizione aggiornata da Philipp Wolf su venerdì 24 ottobre 2008

Indietro . . . .