Content

Downloader-ACS

Type
Trojan
SubType
Downloader
Discovery Date
07/04/2005
Length
Varies
Minimum DAT
4527 (07/04/2005)
Updated DAT
4579 (09/12/2005)
Minimum Engine
5.1.00
Description Added
07/04/2005
Description Modified
09/12/2005 12:09 AM (PT)
Risk Assessment
Corporate User
Low
Home User
Low

Tab Navigation

Characteristics

-- Update September 11th 2005 --
 A recent spamming has been reported intended to download a password stealer which is proactively detected as PWS-Banker.

--

This trojan was likely created by the same author as the Downloader-AAP.B trojan .

Downloaders are designed to pull files from a remote website and execute the files that have been downloaded.

This downloader variant tries to download a file called "100.exe" from five different servers and "hhtz.exe" from another.

As the website being communicated is normally controlled by the malware author, any files being downloaded can be remotely modified and the behavior of these new binaries altered - possibly with every user infection.

This trojan was spammed on July 4th, 2005 in Germany using the following email format:

From: "Deutsche Telekom AG" Rechnung-Online@t-com.net (forged)
Subject: Telekom
Body: (may be contained in an attachment named message.htm) 

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Juni 2005 beträgt: 8030,53 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.

Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".

=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:www.t-om.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen GruessenIhre T-Com
--------------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.

Attachment: Rechnung.pdf.exe

Symptoms

When run, this trojan copies itself to the WINDOW (%WinDir%) directory and creates a registry run key to load itself at system startup:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "winldr" = C:\WINDOWS\Rechnung.pdf.exe

The trojan attempts to download files from the following sites:

  • www.hairkrafts.net
  • www.kandid.ru
  • telecard.com.ua
  • allboards.com.ua
  • www.orima.ru
  • www.npfpk.ru

Method of Infection

This downloader trojan was mass spammed on July 4, 2005.

Removal

All Users:
Use current engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Variants

Variants

    N/A

All Information

Overview -

This is a trojan detection. Unlike viruses, trojans do not self-replicate. They are spread manually, often under the premise that they are beneficial or wanted. The most common installation methods involve system or security exploitation, and unsuspecting users manually executing unknown programs. Distribution channels include email, malicious or hacked web pages, Internet Relay Chat (IRC), peer-to-peer networks, etc.

Aliases

  • Troj/Vidlo-Q (Sophos)
  • TROJ_DLOADER.RY (Trend)

Characteristics

Characteristics -

-- Update September 11th 2005 --
 A recent spamming has been reported intended to download a password stealer which is proactively detected as PWS-Banker.

--

This trojan was likely created by the same author as the Downloader-AAP.B trojan .

Downloaders are designed to pull files from a remote website and execute the files that have been downloaded.

This downloader variant tries to download a file called "100.exe" from five different servers and "hhtz.exe" from another.

As the website being communicated is normally controlled by the malware author, any files being downloaded can be remotely modified and the behavior of these new binaries altered - possibly with every user infection.

This trojan was spammed on July 4th, 2005 in Germany using the following email format:

From: "Deutsche Telekom AG" Rechnung-Online@t-com.net (forged)
Subject: Telekom
Body: (may be contained in an attachment named message.htm) 

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Juni 2005 beträgt: 8030,53 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.

Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".

=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:www.t-om.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen GruessenIhre T-Com
--------------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.

Attachment: Rechnung.pdf.exe

Symptoms

Symptoms -

When run, this trojan copies itself to the WINDOW (%WinDir%) directory and creates a registry run key to load itself at system startup:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "winldr" = C:\WINDOWS\Rechnung.pdf.exe

The trojan attempts to download files from the following sites:

  • www.hairkrafts.net
  • www.kandid.ru
  • telecard.com.ua
  • allboards.com.ua
  • www.orima.ru
  • www.npfpk.ru

Method of Infection

Method of Infection -

This downloader trojan was mass spammed on July 4, 2005.

Removal -

Removal -

All Users:
Use current engine and DAT files for detection and removal.

Modifications made to the system Registry and/or INI files for the purposes of hooking system startup, will be successfully removed if cleaning with the recommended engine and DAT combination (or higher).

Additional Windows ME/XP removal considerations

Variants

Variants -

    N/A