Nome del virus:TR/Dldr.iBill.BR
Scoperto:24/11/2008
Tipo:Trojan
Sottotipo:Downloader
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:26.112 Byte
Somma di controllo MD5:b2f27d1b598d46998eda3a12ddfe140e
Versione IVDF:7.01.00.130 - lunedì 24 novembre 2008

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Modifica del registro

 File Si copia alla seguente posizione:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Cancella la copia di se stesso eseguita inizialmente.




Prova a scaricare un file:

– La posizione è la seguente:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Questo file può contenere ulteriori posizioni per i download e potrebbe essere utilizzato come fonte di nuove minacce.

 Registro Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Non possiede una propria procedura di propagazione, però si trasmette tramite email. Le caratteristiche sono descritte qui di seguito:


Da:
L'indirizzo del mittente è falso.


Oggetto:
Il seguente:
   • Abrechnung %vari numeri casuali da 0 a 9%



Corpo dell'email:
Il corpo dell’email è come il seguente:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%vari numeri casuali da 0 a 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


File allegato:
Il nome del file allegato è:
   • abrechnung.zip

L'allegato è un archivio che contiene una copia del malware stesso.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Thomas Wegele su martedì 25 novembre 2008
Descrizione aggiornata da Thomas Wegele su martedì 25 novembre 2008

Indietro . . . .