Имя:TR/Dldr.iBill.V
Обнаружен:22/02/2007
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Низкий
Файл статистики:Да
Размер файла:28.199 байт.
Контрольная сумма MD5:AB42B87EB781389A71B43DD75A423A4C
Версия VDF:6.37.1.134
Версия IVDF:6.37.1.134

 Общее Метод распространения:
   • Email


Псевдонимы (аliases):
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.at
   •  F-Secure: Trojan-Downloader.Win32.Nurech.at
   •  Panda: W32/Nurech.F.worm
   •  VirusBuster: Trojan.DL.Nurech.BA
   •  Bitdefender: Trojan.Downloader.Kasik.A


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносные файлы
   • Создает файлы

 Файлы Создаются следующие файлы:

– Незараженные файлы:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr1.dat
   • %ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr0.dat




Попытка загрузки следующих файлов:

– Следующий URL:
   • http://marketing-know-how.com/**********get_exe.php?l=
Дальнейшие исследования выявили, что данный файл является вредоносной программой.

– Следующий URL:
   • http://www.coldspread.de/data/**********get_exe.php?l=
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://www.eurowing.us/**********get_exe.php?l=
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://81.95.147.138/**********get_exe.php?l=
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://www.thaitradeshow.com/**********get_exe.php?l=
На момент проверки данный файл не был доступен.

– Следующий URL:
   • http://tncmhg.com/images/**********get_exe.php?l=
На момент проверки данный файл не был доступен.

 Реестр Для загрузки службы после перезагрузки системы добавляются следующие ключи реестра.

– HKLM\SYSTEM\CurrentControlSet\Services\BITS
– HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS


Добавляется следующий ключ реестра:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
   • "StateIndex"=dword:00000000

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


Дизайн письма:
От: "EBay" kundensupport@ebay.de
Тема: eBay-Hinweis zu geanderter E-Mail-Adresse
Текст письма:
   • Hallo sehr geehrter Ebay Mitglied,
     
     Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.
     
     Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.
     
     Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
     Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!
     
     Vielen Dank,
     eBay
     --------------------------------------------------------------------
     
     Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
     Datenschutzerklärung:
     http://pages.ebay.de/help/policies/privacy-policy.html
     
     Allgemeine Geschäftsbedingungen:
     http://pages.ebay.de/help/policies/user-agreement.html
     
     Copyright 2006 eBay Inc. Alle Rechte vorbehalten.
     Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
     eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
     --------------------------------------------------------------------
     Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
     http://pages.ebay.de/help/basics/select-support.html
     
Прикрепленный файл:
   • Ebay.zip

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • MEW 11v1.3

Описание добавил Lutz Koch в(о) четверг, 22 февраля 2007 г.
Описание обновил Lutz Koch в(о) вторник, 27 февраля 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.