VírusTR/Drop.iBill.BD
Data em que surgiu:24/10/2008
Tipo:Trojan
Subtipo:Dropper
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:45.297 Bytes
MD5 checksum:b8750fa07487b47dc6e1ae54347ddbcb
Versão IVDF:7.00.07.83 - sexta-feira, 24 de outubro de 2008

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Eset: Win32/Agent.OIR trojan
   •  Bitdefender: Trojan.Agent.AKSV


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\%sete caracteres aleatórios%.exe



Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %SYSDIR%\%seis caracteres aleatórios%

%SYSDIR%\%oito caracteres aleatórios%.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Runner.BG

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %nove caracteres aleatórios%]
   • Startup="%texto com 10 dígitos aleatórios%"
   • DLLName="%dll de malware%"
   • Impersonate=dword:00000000
   • Asynchronous=dword:00000001

 Backdoor Contacta o servidor:
Seguinte:
   • re**********t.mobi

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP POST através de scripts PHP.


Envia informação sobre:
    • Informação recolhida na secção de roubos.

 Roubos de informação Tenta roubar a seguinte informação:

– As palavras-chave dos seguintes programas:
   • thebat.exe
   • msimn.exe
   • iexplore.exe
   • myie.exe
   • firefox.exe

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em sexta-feira, 24 de outubro de 2008
Descrição atualizada por Philipp Wolf em sexta-feira, 24 de outubro de 2008

Voltar . . . .