VírusTR/Dldr.iBill.BR
Data em que surgiu:24/11/2008
Tipo:Trojan
Subtipo:Downloader
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:26.112 Bytes
MD5 checksum:b2f27d1b598d46998eda3a12ddfe140e
Versão IVDF:7.01.00.130 - segunda-feira, 24 de novembro de 2008

 Vulgarmente Meio de transmissão:
   • E-mail


Alias:
   •  Symantec: Downloader
   •  Mcafee: Spy-Agent.bw
   •  Kaspersky: Worm.Win32.AutoRun.svl
   •  TrendMicro: WORM_AUTORUN.BWQ
   •  F-Secure: Worm.Win32.AutoRun.svl
   •  Sophos: Troj/Agent-IIJ
   •  Grisoft: Pakes.ANT
   •  VirusBuster: Trojan.Agent.FKIA
   •  Eset: Win32/AutoRun.FakeAlert.AD
   •  Bitdefender: Trojan.Agent.ALHD


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe



Apaga a cópia executada inicialmente.




Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://univnext.cn/**********.php?v=1&rs=**********&n=1&uid=1
Este ficheiro pode conter localizações de descarregamento adicionais e poderá servir como fonte para novas ameaças .

 Registry (Registo do Windows) É adicionada a seguinte chave de registo:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • Debugger = "%PROGRAM FILES%\Microsoft Common\svchost.exe"

 E-mail Não tem rotinas próprias de propagação mas é enviado por email. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Assunto:
O seguinte:
   • Abrechnung %números aleatórios entre 0 e 9%



Corpo:
O corpo do email é o seguinte:

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.%números aleatórios entre 0 e 9% ist erfolgt
     Es wurden 2455.00 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
     
     Regel Inkasso GmbH & Co. KG
     Fredeburger Str. 21
     33699 Bielefeld
     
     Postfach 51 20 05
     33698 Bielefeld
     
     Tel.: 0521 93212-0
     Fa x: 0521 92412-15
     
     AG Bielefeld HRA 13169
     Steuer-Nummer: 349/5749/0377
     
     Komplementargesellschaft:
     Regel Verwaltungs-GmbH
     AG Bielefeld HRA 34932


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • abrechnung.zip

O ficheiro de atalho contém uma cópia do próprio malware.

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Thomas Wegele em terça-feira, 25 de novembro de 2008
Descrição atualizada por Thomas Wegele em terça-feira, 25 de novembro de 2008

Voltar . . . .