VírusTR/Dldr.iBill.V
Data em que surgiu:22/02/2007
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Baixo
Ficheiro estático:Sim
Tamanho:28.199 Bytes
MD5 checksum:AB42B87EB781389A71B43DD75A423A4C
Versão VDF:6.37.1.134
Versão IVDF:6.37.1.134

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Descarrega ficheiros

 Ficheiros São criados os seguintes ficheiros:

– Ficheiros não maliciosos:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://marketing-know-how.com/**********get_exe.php?l=
Outras investigações apontam para que este ficheiro, também, seja malware.

– A partir da seguinte localização:
   • http://www.coldspread.de/data/**********get_exe.php?l=
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.eurowing.us/**********get_exe.php?l=
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://81.95.147.138/**********get_exe.php?l=
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
Ainda em fase de pesquisa.

– A partir da seguinte localização:
   • http://tncmhg.com/images/**********get_exe.php?l=
Ainda em fase de pesquisa.

 Registry (Registo do Windows) Adiciona a seguinte chave ao registo do Windows para executar o serviço ao iniciar o sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


É adicionada a seguinte chave de registo:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


Formato do email:
De: "EBay" kundensupport@ebay.de
Assunto: eBay-Hinweis zu geanderter E-Mail-Adresse
Body:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
Atalho:
   • Ebay.zip

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • MEW 11v1.3

Descrição enviada por Lutz Koch em quinta-feira, 22 de fevereiro de 2007
Descrição atualizada por Lutz Koch em terça-feira, 27 de fevereiro de 2007

Voltar . . . .