//start foreach
English
//start foreach
Deutsch
//start foreach
Français
//start foreach
Español
//start foreach
Italiano
//start foreach
Русский
//start foreach
日本語
//start foreach
Português
Home
Minacce
TR/Drop.iBill.BD
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistiche
Phishing Worldmap
VDF History
Virus Science
Submit Sample
News sulla sicurezza
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
TR/Drop.iBill.BD - Trojan
Vedi anche
In breve
Descrizione completa
Statistiche
Come valuti questa informazione?
Inutile
Eccellente
Nome del virus:
TR/Drop.iBill.BD
Scoperto:
24/10/2008
Tipo:
Trojan
Sottotipo:
Dropper
In circolazione (ITW):
Si
Numero delle infezioni segnalate:
Medio-Basso
Potenziale di propagazione:
Medio
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
45.297 Byte
Somma di controllo MD5:
b8750fa07487b47dc6e1ae54347ddbcb
Versione IVDF:
7.00.07.83
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Eset: Win32/Agent.OIR trojan
• Bitdefender: Trojan.Agent.AKSV
Piattaforme / Sistemi operativi:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Clona un file “maligno”
• Modifica del registro
• Sottrae informazioni
File
Si copia alla seguente posizione:
•
%SYSDIR%
\
%stringa casuale di sette caratteri%
.exe
Cancella la copia di se stesso eseguita inizialmente.
Viene creato il seguente file:
– File “non maligno”:
•
%SYSDIR%
\
%stringa casuale di sei caratteri%
–
%SYSDIR%
\
%stringa casuale di otto caratteri%
.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Runner.BG
Registro
Viene aggiunta la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
%stringa casuale di nove caratteri%
]
• Startup="
%stringa di 10 caratteri casuali%
"
• DLLName="
%dll del malware%
"
• Impersonate=dword:00000000
• Asynchronous=dword:00000001
Backdoor
Contatta il server:
Il seguente:
• re**********t.mobi
Come risultato può inviare alcune informazioni. Questo è fatto tramite il metodo HTTP POST utilizzando uno script PHP.
Invia informazioni riguardanti:
• Le informazioni recuperate sono descritte nella sezione delle informazioni sottratte
Sottrazione di informazioni
Prova a sottrarre le seguenti informazioni:
– Le password dai seguenti programmi:
• thebat.exe
• msimn.exe
• iexplore.exe
• myie.exe
• firefox.exe
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in MS Visual C++.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Thomas Wegele il Fri, 24 Oct 2008 10:22 (GMT+1)
Descrizione aggiornata da Philipp Wolf il Fri, 24 Oct 2008 14:17 (GMT+1)
»
Informazioni sul malware
»
Informazioni sul phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
HTML/Crypted.Gen
TR/Rootkit.Gen
TR/Crypt.XPACK.Gen2
PCK/NSIS.M
PCK/Dumped
PCK/Repacked
PCK/MEW
PCK/UPACK
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2010 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce TR/Drop.iBill.BD
Stampa questa pagina
.gif)
