1459100

Wieder gefälschte Telekom-Rechnungen unterwegs

20.07.2005 | 14:54 Uhr |

In Mails mit gefälschten Absenderangaben wird ein Trojanisches Pferd verbreitet.

Die Mails erscheinen als angebliche Telekom-Rechnungen und enthalten einen Anhang mit dem Dateinamen "rechnung.pdf.exe". Diese Datei wird mit einem PDF-Symbol angezeigt - selbst auf Windows-Rechnern, auf denen kein Adobe Reader installiert ist.

Der mit einem Trojaner infizierte Anhang ist für Mac-Anwender nicht gefährlich. Die Mail enthält jedoch ein als Textlink getarntes Bild, das auf einen Phishing-Server in China verweist. Der Server gibt unter der IP-Adresse 222.36.41.164 vor, die Login-Seite zum Service Rechung Online der Deutschen Telekom zu sein.

Die Mails kommen mit einem Betreff wie "Rechnung-Online", "Telekom Rechnung" oder auch "Deutsche Telekom AG". Als Absender ist "Rechnung-Online@t-com.net" angegeben, die Mails kommen jedoch aus den USA. Im Text nennen die Mails dreistellige Rechnungsbeträge. Die Betrüger spekulieren offensichtlich darauf, dass von ihren vermeintlich hohen Telefonrechnungen überrumpelte Telekomkunden ohne zu zögern ihre Rechnungsdaten überprüfen.

Wird die angehängte Datei unter Windows geöffnet, kopiert sie sich in das Windows-Verzeichnis und trägt sich zwecks automatischem Start beim Hochfahren von Windows in die Registry ein.

Ferner lädt sie von mehreren, derzeit noch aktiven Servern zwei weitere Schädlinge herunter. Diese werden dann ebenfalls ausgeführt. Soweit bislang bekannt, laden auch diese weitere Malware herunter und installieren sie. Dabei handelt es sich unter anderem um Spyware, etwa einen Key-Logger.

Auch aktuelle Virenscanner erkennen diese Dateien bisher nur lückenhaft. Antivir erkennt die drei genannten Schädlinge mittlerweile als "TR/Dldr.TcomBill" (rechnung.pdf.exe) und "TR/TcomBill". Bei den anderen Antivirus-Herstellern werden bekannte Namen wie "Agent", "Vidlo", "Dumador" und "Finaldo" verwendet.

0 Kommentare zu diesem Artikel
1459100