VírusTR/Dldr.iBill.BD
Data em que surgiu:24/10/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:33.792 Bytes
MD5 checksum:57127815d6864a495151e49c7bf7d192
Versão IVDF:7.00.07.83 - sexta-feira, 24 de outubro de 2008

 Vulgarmente Meios de transmissão:
   • E-mail


Alias:
   •  Symantec: W32.SillyFDC
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Worm.Win32.Downloader.wh
   •  F-Secure: Worm:W32/AutoRun.IT
   •  Sophos: Troj/Agent-IAJ
   •  Grisoft: Pakes.AJY
   •  Eset: Win32/TrojanDownloader.Agent.OJX trojan
   •  Bitdefender: Win32.Worm.Autorun.NT

Identificado anteriormente como:
   •  TR/Dropper.Gen


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\Microsoft common\svchost.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %temporary internet files%\02[1].exe




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://re**********t.mobi/02.exe
Encontra-se no disco rígido: %SYSDIR%\mxwxc.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Drop.iBill.BD

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
Um dos seguintes:
   • Auflistung der Kosten
   • Amtsgericht Koeln
   • Inkasso

O corpo do email é um dos seguintes:

   • Sehr geehrte Damen und Herren
     Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
     Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug
     als "Vattenfallabbuchung " angezeigt.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     Vattenfall Europe AG
     Chausseestra?e 23
     10115 Berlin
     
     Vertretungsberechtigter: Karl Treumeier
     Umsatzsteuerident-Nummer: DR123052388
     Handelsregisternummer HRB 74215B

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.771090603943 ist erfolgt
     Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     
     TESCHINKASSO Forderungsmanagement GmbH
     
     Geschaeftsfuehrer: Siegward Tesch
     Bielsteiner Str. 43 in 51674 Wiehl
     Telefon (0 22 62) 7 11-9
     Telefax (0 22 62) 7 11-806
     
     Ust-ID Nummer: 212 / 5758 / 0635
     
     Amtsgericht Koeln HRB 39598


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Rechnung.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 24 de outubro de 2008
Descrição atualizada por Philipp Wolf em sexta-feira, 24 de outubro de 2008

Voltar . . . .