Имя:TR/Dldr.iBill.Z
Обнаружен:07/03/2007
Вид:Червь
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:От среднего до высокого
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:16.896 байт.
Контрольная сумма MD5:9e3cb288b54f8d654df29cc004815504
Версия VDF:6.38.00.11 - среда, 7 марта 2007 г.
Версия IVDF:6.38.00.11 - среда, 7 марта 2007 г.

 Общее Метод распространения:
   • Email


Псевдоним (alias):
   •  Mcafee: Downloader-AAP


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Создает файл

 Файлы Создается собственная копия:
   • %SYSDIR%\isca.exe



Создается файл:

– Незараженный файл:
   • %SYSDIR%\drivers\wed.tx




Попытка загрузки следующих файлов:

– Следующие URL:
   • http://floorsovertexas.com/**********
   • http://graceinthedesert.org/**********
   • http://northernsoulclub.com/**********
   • http://starcleaningservice.com.au/**********
   • http://grantc.com/**********
   • http://intercitiprojects.com.au/**********
   • http://invitech.net/**********
   • http://releaseforlife.com/**********
Файл может содержать адреса для загрузки дополнительных источников возможных угроз.

– Следующий URL:
   • http://smartpod.com.au/zynergy/home/10.exe
Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ShellN"="isca.exe"



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "wef"=dword:00000037

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


Дизайн письма:
От: "Quelle de" is_as0@quelle.de
Тема: Ihre Quelle Bestellung
Текст письма:
   • **************www.quelle.de***************
     
     Wir bestätigen Ihnen den Eingang Ihrer Bestellung vom 06.03.2007 um 12:46 Uhr:
     
     Vorgangs-ID: 611661716631
     Verarbeitungscode: ART 0805491165855906868717073885505998909
     
     Kundennummer: 469391344
     ------------------------------------------------------------------------------
     
     Sehr geehrte Quelle Kunde,
     
     vielen Dank für Ihre Bestellung bei www.quelle.de.
     
     Eine definitive Lieferzusage können wir Ihnen momentan leider nicht geben.
     
     die Gesamtsumme fär Ihre Rechnung beträgt: 1071,46 Euro (incl. Versandspesen: EUR 5,95)
     Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.
     
     Zahlungswunsch: Bankeinzug
     Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
     Ihre Rechnung ist im PDF-Format erstellt und mit einer "Digitalen Signatur" unterzeichnet worden. Den entsprechenden
     Verifikationsbericht finden Sie im Anhang dieser E-Mail.
     Durch die "Digitale Signatur" wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.
     
     Es gelten die allgemeinen Geschäftsbedingungen der QUELLE GmbH
     
     Informationen zum aktuellen Lieferstatus Ihrer Bestellung können Sie unter der Rubrik "Mein Konto/Bestellübersicht" in Ihrem persönlichen Bereich abfragen. Bitte melden Sie sich hierfür einmalig an:
     http://www.quelle.de/extern.cgi?id=611661716631
     
     Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
     Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html
     
     Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
     und die Signatur zu prüfen.
     
     Ihr Quelle Online Team
     
     ------------------------------------------------------------------------------
     
     Wir bedanken uns nochmals für Ihre Bestellung.
     Schauen Sie doch bald wieder einmal bei www.quelle.de vorbei.
     
     Bestätigungs-ID: 469391344 (für interne Zwecke)
     
     Stempelkarte
     Jetzt anmelden & profitieren!
     
     http://www.quelle.de/extern.cgi?id=611661716631
     
     ****************************www.quelle.de********************************
     
Прикрепленный файл:
   • Quelle_Rechnung_nqan599.rar

Описание добавил Dennis Elser в(о) среда, 7 марта 2007 г.
Описание обновил Alexander Vukcevic в(о) среда, 7 марта 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.