Имя:TR/Dldr.iBill.A
Обнаружен:07/01/2007
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:Высокий
Потенциал распространения:Низкий
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:9.181 байт.
Контрольная сумма MD5:19a960f2ae534915040Bcb60afaa295f
Версия VDF:6.37.00.110
Версия IVDF:6.37.00.114 - воскресенье, 7 января 2007 г.

 Общее Метод распространения:
   • Нет собственной процедуры распространения


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Изменение реестра
   • Позволяет несанкционированно подключиться к компьютеру


После запуска выдается следующая информация:


 Файлы Создается собственная копия:
   • %SYSDIR%\%случайная буквенная комбинация%.exe

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • WinUpdate = %SYSDIR%\%случайная буквенная комбинация%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • WinUpdate = %SYSDIR%\%случайная буквенная комбинация%.exe



Добавляются следующие ключи реестра:

– [HKCU\Software\Microsoft\OLE]
   • WinUpdate = %SYSDIR%\%случайная буквенная комбинация%.exe

– [HKCU\SYSTEM\CurrentControlSet\Control\Lsa]
   • WinUpdate = %SYSDIR%\%случайная буквенная комбинация%.exe



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Ole]
   Новое значение:
   • WinUpdate = %SYSDIR%\%случайная буквенная комбинация%.exe

– [HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
   Новое значение:
   • WinUpdate = %SYSDIR%\%случайная буквенная комбинация%.exe

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


Тема:
Следующее:
   • 1&1 Internet AG - Ihre Rechnung %Число%



Тело:
Тело письма имеет следующий вид:

   • Sehr geehrter 1&1 Kunde,
     
     anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
     die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.
     
     Gemäß der erteilten Einzugsermächtigung werden
     wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.
     
     Ihre Rechnung finden Sie als Anhang im
     PDF-EXE-Format. Zum Lesen und Ausdrucken
     benötigen Sie kein zusätzliches Programm!
     
     Fragen zu Ihrer Rechnung beantwortet Ihnen gerne
     unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
     Übrigens: Wir haben unsere Servicezeiten für Sie
     erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.
     
     Mit freundlichen Grüßen
     
     Ihr 1&1 WebHosting-Team
     
     [Dies ist eine automatisch generierte Nachricht,
     bitte antworten Sie nicht an diesen Absender.
     Falls Sie Fragen an den 1&1 Support haben,
     verwenden Sie bitte das Kontaktformular unter www.**********]
     
Следующее имя прикрепленного файла:
   • Rechnung.pdf.exe

 Backdoor Устанавливает соединение с сервером
Один из следующих:
   • http://www.marketing-know-how.com/bookreview/inc/**********
   • http://www.blingblingventures.com/snake1/uploads/avatars/**********
   • http://www.ronindesigns.net/images/cars/**********
   • http://www.alexkabobhouse.com/images/**********
   • http://testing-one-two.com/editor/**********
   • http://66.235.203.21/~academic/img/**********
   • http://deja-rue.com/mypix/**********



Передает информацию о:
    • Текущий malware статус.


Возможности удаленного контроля:
    • Загрузить файл

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • svchost.exe


 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Andrei Gherman в(о) понедельник, 8 января 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 9 января 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.