Nume:TR/Dldr.iBill.D
Descoperit pe data de:23/01/2007
Tip:Troian
Subtip:Downloader
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:26.112 Bytes
MD5:3290cb5b8bba270B1cc95030edf1cdbe
Versiune VDF:6.37.00.188
Versiune IVDF:6.37.00.204 - terça-feira, 23 de janeiro de 2007
Euristica:HEUR/Malware

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Creeaza un fisier
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\ipcbt.exe



Este creat fisierul:

– %SYSDIR%\drivers\onut.dat Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • ipcbt = %SYSDIR%\ipcbt.exe



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   Noua valoare:
   • zwq = dword:00000001

 Email Nu are rutina proprie de propagare, dar a fost raspandit prin e-mail. Iata caracteristicile lui:


Formatul email-ului:
 


De la: Gebuehreneinzugszentrale (GEZ) <onlinerechnung@gez.de>
Subiect: Rechnung GEZ 22.2006
Corp mesaj:
   • Ihre detaillierte GEZ Rechnung von - 22.01.2007
     
     
     Rechnungsnummer %numar%
     Kundennummer %numar%
     Datum 22.12.2006
     
     
     Bei Rückfragen bitte Kundennummer angeben
     
     Sehr geehrter GEZ Kunde,
     
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 123,82 Euro.
     Anbei erhalten Sie den detaillierten Nutzungsnachweis im beigefügter ZIP Datei.
     Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist.
     Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.
     
     Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
     Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass GEZ mehrere Rechnungsoriginale ausstellt.
     
     Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
     ======================================
     GEZ AKTUELL
     Die Ministerprasidenten haben am 19. Oktober 2006 beschlossen, dass fur "Neuartige Rundfunkgerate" (Internet-PCs) ab Januar 2007 eine Gebuhr in Hohe von EUR 5,52 zu entrichten ist. Betroffen davon sind nur diejenigen, die bisher weniger als 2 Rundfunkgerate angemeldet haben.
     www.gez.de/aktuell
     ======================================
     
     Mit freundlichen Grussen
     Ihre GEZ Team
     i.A. Sandy Steinecke
     ---------------------------------------------------
     
     © Gebuhreneinzugszentrale 2007
     
     Aufsichtsrat:
     Handelsregister:
      Dr.Klaus Zumwinkel (Vorsitzender)
     Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015
Atasament:
   • %numar%.zip



Email-ul arata astfel:


 Backdoor Servere contactate:
Urmatoarele:
   • http://gideonsarmy3.com/gideons_files/**********
   • http://floorsovertexas.com/images/**********
   • http://gilles-pouliot.com/images/**********
   • http://graceinthedesert.org/images/photo_page/**********
   • http://mazal18.com/temp/**********
   • http://gracesanders.com/images/**********
   • http://buckells.co.uk/heidi/**********
   • http://thecorsairs.co.uk/Pics/**********

Odata conectat, descarca o alta lista de servere.
Astfel se obtine control la distanta. Raspunsul serverului este scris in fisierul: %SYSDIR%\drivers\onut.dat


Posibilitati de control la distanta:
    • descarcare fisier

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Descrição enviada por Andrei Gherman em terça-feira, 23 de janeiro de 2007
Descrição atualizada por Robert Harja Iliescu em segunda-feira, 12 de fevereiro de 2007

Voltar . . . .