Имя:TR/Dldr.iBill.BD
Обнаружен:24/10/2008
Вид:Троянская программа
Подвид:Downloader
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:33.792 байт.
Контрольная сумма MD5:57127815d6864a495151e49c7bf7d192
Версия IVDF:7.00.07.83 - пятница, 24 октября 2008 г.

 Общее Методы распространения:
   • Email


Псевдонимы (аliases):
   •  Symantec: W32.SillyFDC
   •  Mcafee: Downloader-AAP trojan
   •  Kaspersky: Worm.Win32.Downloader.wh
   •  F-Secure: Worm:W32/AutoRun.IT
   •  Sophos: Troj/Agent-IAJ
   •  Grisoft: Pakes.AJY
   •  Eset: Win32/TrojanDownloader.Agent.OJX trojan
   •  Bitdefender: Win32.Worm.Autorun.NT

Ранее были обнаружены как:
   •  TR/Dropper.Gen


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается собственная копия:
   • %PROGRAM FILES%\Microsoft common\svchost.exe



Выполненная копия программы удаляется.



Создается файл:

– Файл предназначен для временного использования и может быть удален.
   • %temporary internet files%\02[1].exe




Попытка загрузки следующего файла:

– Следующий URL:
   • http://re**********t.mobi/02.exe
Сохраняется локально в: %SYSDIR%\mxwxc.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.iBill.BD

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:


От:
Адрес отправителя был фальсифицирован.


Тема:
Одно из следующих:
   • Auflistung der Kosten
   • Amtsgericht Koeln
   • Inkasso

Тело письма имеет один из следующих видов:

   • Sehr geehrte Damen und Herren
     Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
     Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug
     als "Vattenfallabbuchung " angezeigt.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     Vattenfall Europe AG
     Chausseestra?e 23
     10115 Berlin
     
     Vertretungsberechtigter: Karl Treumeier
     Umsatzsteuerident-Nummer: DR123052388
     Handelsregisternummer HRB 74215B

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.771090603943 ist erfolgt
     Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
     
     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
     
     
     TESCHINKASSO Forderungsmanagement GmbH
     
     Geschaeftsfuehrer: Siegward Tesch
     Bielsteiner Str. 43 in 51674 Wiehl
     Telefon (0 22 62) 7 11-9
     Telefax (0 22 62) 7 11-806
     
     Ust-ID Nummer: 212 / 5758 / 0635
     
     Amtsgericht Koeln HRB 39598


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • Rechnung.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Thomas Wegele в(о) пятница, 24 октября 2008 г.
Описание обновил Philipp Wolf в(о) пятница, 24 октября 2008 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.