Falsche Telekom-Rechnungen liefern Malware aus

21.09.2006 | 08:40 Uhr | Frank Ziemann

Artikel empfehlen:

Mit wie üblich sehr hohen Beträgen sollen vorgebliche Telekom-Rechnungen, die per Mail Spam-artig verbreitet werden, die Empfänger zum Öffnen des Mail-Anhangs verleiten. Wer darauf herein fällt, installiert ein Trojanisches Pferd auf seinem PC.

Vergrößern

Die vorgeblich von der T-Com stammenden Mails mit einem Betreff wie "Rechnung Online Monat September 2006" enthalten einen Anhang namens "Rechnung.pdf.zip" (10 KB). In diesem ZIP-Archiv steckt eine EXE-Datei gleichen Namens mit PDF-Symbol. Dabei handelt es sich um Malware, die weitere Schädlinge aus dem Internet herunter lädt.

Wird die EXE-Datei gestartet, legt sie im Verzeichnis C:\WINDOWS\System32\drivers eine Datei "winut.dat" an. Darin sind verschlüsselte Download-Adressen für weitere Malware enthalten. Diese versucht der Schädling herunter zu laden. Außerdem trägt er sich in die Windows-Registry ein, damit er bei jedem Windows-Start geladen wird.

Antivirus	Malware-Name
AntiVir	TR/Dldr.EbayBill.J
Avast!	---
AVG	Downloader.Generic2.OSR (Trojan horse)
BitDefender	Trojan.Downloader.EbayBill.F
ClamAV	Trojan.Downloader.Small-2592
Command	---
Dr Web	---
eSafe	---
eTrust-INO	---
eTrust-VET	---
Ewido	Downloader.Nurech.a
F-Prot	---
F-Secure	Trojan-Downloader.Win32.Nurech.a
Fortinet	W32/Clagger.A!tr.dldr
Ikarus	Trojan-Downloader.Win32.Nurech.a
Kaspersky	Trojan- Downloader.Win32.Nurech.a
McAfee	Downloader-AAP trojan
Microsoft	---
Nod32	Win32/TrojanDownloader.Agent.UF trojan
Norman	---
Panda	Trj/Clagge.D
QuickHeal	---
Sophos	Troj/Clagger-AC
Symantec	Trojan.Schoeberl.D
Trend Micro	TROJ_YABE.AC
UNA	TrojanDownloader.Win32.Nurech.660
VBA32	---
VirusBuster	Trojan.DL.Agent.PUJ
WebWasher	Trojan.Dldr.EbayBill.J
GData AVK **	Trojan- Downloader.Win32.Nurech.a