VírusTR/Dldr.iBill.Z
Data em que surgiu:07/03/2007
Tipo:Worm
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:De médio a elevado
Nível de distribuição:Médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:16.896 Bytes
MD5 checksum:9e3cb288b54f8d654df29cc004815504
Versão VDF:6.38.00.11 - quarta-feira, 7 de março de 2007
Versão IVDF:6.38.00.11 - quarta-feira, 7 de março de 2007

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Mcafee: Downloader-AAP


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega um ficheiro

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\isca.exe



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %SYSDIR%\drivers\wed.tx




Tenta efectuar o download de alguns ficheiros:

– A partir das seguintes localizações:
   • http://floorsovertexas.com/**********
   • http://graceinthedesert.org/**********
   • http://northernsoulclub.com/**********
   • http://starcleaningservice.com.au/**********
   • http://grantc.com/**********
   • http://intercitiprojects.com.au/**********
   • http://invitech.net/**********
   • http://releaseforlife.com/**********
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

– A partir da seguinte localização:
   • http://smartpod.com.au/zynergy/home/10.exe
Outras investigações apontam para que este ficheiro, também, seja malware.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ShellN"="isca.exe"



É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "wef"=dword:00000037

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


Formato do email:
De: "Quelle de" is_as0@quelle.de
Assunto: Ihre Quelle Bestellung
Body:
   • **************www.quelle.de***************
     
     Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom 06.03.2007 um 12:46 Uhr:
     
     Vorgangs-ID: 611661716631
     Verarbeitungscode: ART 0805491165855906868717073885505998909
     
     Kundennummer: 469391344
     ------------------------------------------------------------------------------
     
     Sehr geehrte Quelle Kunde,
     
     vielen Dank für Ihre Bestellung bei www.quelle.de.
     
     Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.
     
     die Gesamtsumme fär Ihre Rechnung beträgt: 1071,46 Euro (incl. Versandspesen: EUR 5,95)
     Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.
     
     Zahlungswunsch: Bankeinzug
     Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
     Ihre Rechnung ist im PDF-Format erstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden
     Verifikationsbericht finden Sie im Anhang dieser E-Mail.
     Durch die "Digitale Signatur" wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.
     
     Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH
     
     Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik "Mein Konto/Bestellübersicht" in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an:
     http://www.quelle.de/extern.cgi?id=611661716631
     
     Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
     Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html
     
     Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
     und die Signatur zu prüfen.
     
     Ihr Quelle Online Team
     
     ------------------------------------------------------------------------------
     
     Wir bedanken uns nochmals für Ihre Bestellung.
     Schauen Sie doch bald wieder einmal bei www.quelle.de vorbei.
     
     Bestätigungs-ID: 469391344 (für interne Zwecke)
     
     Stempelkarte
     Jetzt anmelden & profitieren!
     
     http://www.quelle.de/extern.cgi?id=611661716631
     
     ****************************www.quelle.de********************************
     
Atalho:
   • Quelle_Rechnung_nqan599.rar

Descrição enviada por Dennis Elser em quarta-feira, 7 de março de 2007
Descrição atualizada por Alexander Vukcevic em quarta-feira, 7 de março de 2007

Voltar . . . .