137646

Gefälschte Telekom-Rechnungen

19.07.2005 | 15:42 Uhr |

Heute werden wieder angebliche Rechnungen der Telekom verbreitet, die ein Trojanisches Pferd enthalten.

In Mails mit gefälschten Absenderangaben wird ein Trojanisches Pferd verbreitet. Die Mails erscheinen als angebliche Telekom-Rechnungen und enthalten einen Anhang mit dem Dateinamen "rechnung.pdf.exe". Diese Datei wird mit einem PDF-Symbol angezeigt - selbst auf Rechnern, auf denen kein Adobe Reader installiert ist.

Die Mails kommen mit einem Betreff wie "Rechnung-Online", "Telekom Rechnung" oder auch "Deutsche Telekom AG". Als Absender ist "Rechnung-Online@t-com.net" angegeben, die Mails kommen jedoch aus den USA.

Wird die angehängte Datei geöffnet, kopiert sie sich in das Windows-Verzeichnis und trägt sich zwecks automatischem Start beim Hochfahren von Windows in die Registry ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
winldr = %windir%\rechnung.pdf.exe

Ferner lädt sie von mehreren, derzeit noch aktiven Servern zwei weitere Schädlinge herunter. Diese werden dann ebenfalls ausgeführt. Soweit bislang bekannt, laden auch diese weitere Malware herunter und installieren sie. Dabei handelt es sich unter anderem um Spyware, etwa einen Key-Logger.

Auch aktuelle Virenscanner erkennen diese Dateien bisher nur lückenhaft. Antivir erkennt die drei genannten Schädlinge mittlerweile als "TR/Dldr.TcomBill" (rechnung.pdf.exe) und "TR/TcomBill". Bei den anderen Antivirus-Herstellern werden bekannte Namen wie "Agent", "Vidlo", "Dumador" und "Finaldo" verwendet.

Die Mail enthält weiterhin einen als Bild nachgeladenen Link zu einem Phishing-Server in China, wo man sich vorgeblich für Rechnung-Online anmelden können soll. Die Bilddatei stammt von demselben Server.

Update 20.7 .: Die Betrüger setzen auf eine weitere Masche. Siehe hierzu die News " Telekom-Phishing geht in eine zweite Runde (PC-WELT Online, 20.07.2005) ".

0 Kommentare zu diesem Artikel
137646