TR/Dldr.iBill.BD - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Dldr.iBill.BD
Обнаружен:	24/10/2008
Вид:	Троянская программа
Подвид:	Downloader
В реальных условиях:	Да
Отмеченные факты заражения:	От низкого до среднего
Потенциал распространения:	Средний
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	33.792 байт.
Контрольная сумма MD5:	57127815d6864a495151e49c7bf7d192
Версия IVDF:	7.00.07.83

Общее Методы распространения:
   • Email

Псевдонимы (аliases):
   • Symantec: W32.SillyFDC
   • Mcafee: Downloader-AAP trojan
   • Kaspersky: Worm.Win32.Downloader.wh
   • F-Secure: Worm:W32/AutoRun.IT
   • Sophos: Troj/Agent-IAJ
   • Grisoft: Pakes.AJY
   • Eset: Win32/TrojanDownloader.Agent.OJX trojan
   • Bitdefender: Win32.Worm.Autorun.NT

Ранее были обнаружены как:
   • TR/Dropper.Gen

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Загружает вредоносного файл
   • Снижает уровень настроек безопасности
   • Изменение реестра

Файлы Создается собственная копия:
   • %PROGRAM FILES%\Microsoft common\svchost.exe

Выполненная копия программы удаляется.

Создается файл:

– Файл предназначен для временного использования и может быть удален.
   • %temporary internet files%\02[1].exe

Попытка загрузки следующего файла:

– Следующий URL:
   • http://re**********t.mobi/02.exe
Сохраняется локально в: %SYSDIR%\mxwxc.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Drop.iBill.BD

Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\explorer.exe]
• "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

Email Программа не имеет собственной процедуры распространения. Распространяется с помощью электронной почты. Подробности приведены ниже:

От:
Адрес отправителя был фальсифицирован.

Тема:
Одно из следующих:
   • Auflistung der Kosten
   • Amtsgericht Koeln
   • Inkasso

Тело письма имеет один из следующих видов:

   • Sehr geehrte Damen und Herren
     Ihr Abbuchungsauftrag Nr.46538563 wurde erfullt.
     Ein Betrag von 484.00 EURO wurde abgebucht und wird in Ihrem Bankauszug
     als "Vattenfallabbuchung " angezeigt.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

     Vattenfall Europe AG
     Chausseestra?e 23
     10115 Berlin

     Vertretungsberechtigter: Karl Treumeier
     Umsatzsteuerident-Nummer: DR123052388
     Handelsregisternummer HRB 74215B

   • Sehr geehrte Damen und Herren!
     Die Anzahlung Nr.771090603943 ist erfolgt
     Es wurden 6666.88 EURO Ihrem Konto zu Last geschrieben.
     Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

     Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung


     TESCHINKASSO Forderungsmanagement GmbH

     Geschaeftsfuehrer: Siegward Tesch
     Bielsteiner Str. 43 in 51674 Wiehl
     Telefon (0 22 62) 7 11-9
     Telefax (0 22 62) 7 11-806

     Ust-ID Nummer: 212 / 5758 / 0635

     Amtsgericht Koeln HRB 39598

Прикрепленный файл:
Следующее имя прикрепленного файла:
   • Rechnung.zip

Прикрепленный архивный файл содержит копию потенциально опасной программы.

Данные файла Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Краткое описание см. здесь.

Описание добавлено: Thomas Wegele Fri, 24 Oct 2008 09:35 (GMT+1)
Описание обновлено: Philipp Wolf Fri, 24 Oct 2008 14:15 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад