101208

Telekom-Rechnung mit Trojanischem Pferd

23.03.2006 | 15:05 Uhr |

Infizierte Rechner werden Teil eines Botnets.

Heute werden einmal mehr gefälschte Telekom-Rechnungen Spam-artig verbreitet, die einen gefährlichen Anhang enthalten. Das Trojanische Pferd soll sich bei einem Web-Server melden und installiert ein schädliches Programm, das den Rechner mutmaßlich zu einem Teil eines Botnets machen soll.

Die Mails kommen mit einem Betreff wie "Telekom Rechnung Monat 03 2006" oder einfach "Rechnung Telekom". Der Text weist eine Rechnungssumme von mehreren hundert Euro aus. Der Anhang ist eine 8.704 Byte große EXE-Datei mit PDF-Symbol und dem Dateinamen "T-COM-Rechnung.pdf.exe".

Wird die Datei geöffnet, also ausgeführt, legt sie eine weitere schädliche Datei namens "sysldr.dl" im System-Verzeichnis von Windows an. In der Registry wird eine neue Kennung (CLSID, eine lange Nummer) generiert, auf die in weiteren Registry-Einträgen Bezug genommen wird:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
sysldr = <CLSID>

HKCR\CLSID\<CLSID>\InprocServer32
@ = sysldr.dll

Der Schädling nimmt Kontakt zu einem Web-Server in Texas, USA, auf. Er überträgt dabei mutmaßlich Daten, indem er ein PHP-Script auf dem Server aufruft. Auf diese Weise kann der Web-Server darüber Buch führen, wie viele und welche Rechner bereits infiziert sind. Das Trojanische Pferd hat keine eigene Verbreitungsfunktion.

Erkennung durch Antivirus-Software:

Antivirus

Malware-Name

AntiVir

TR/Dldr.TComBill.N

Avast!

-/-

AVG

-/-

BitDefender

Trojan.Downloader.Small.COQ

ClamAV

Trojan.Downloader.Small-1139-1

Command AV

-/-

Dr Web

BackDoor.Sicklebot

eSafe

Trojan/Worm [101]

eTrust-INO

-/-

eTrust-VET

-/- (Win32/DlWreck.AA) *

Ewido

Downloader.Small.coq

F-Prot

-/-

F-Secure

Trojan-Downloader.Win32.Small.coq

Fortinet

suspicious (W32/Vidlo.L!tr) *

Ikarus

Email-Worm.Win32.Mydoom.gen

Kaspersky

Trojan-Downloader.Win32.Small.coq

McAfee

-/-

Nod32

-/-

Norman

-/-

Panda

Suspicious file (Trj/Downloader.IEI) *

Sophos

Troj/Vidlo-L

Symantec

Download.Trojan

Trend Micro

TROJ_YABE.M


* noch nicht in offiziellen Updates enthalten
Quelle: AV-Test , Stand: 23.03.06, 12:00 Uhr

0 Kommentare zu diesem Artikel
101208