Trojaner kommt als Telekom-Rechnung getarnt

Sicherheitsexperte H+BEDV warnt vor einem Trojaner, der sich als vermeintliche Telekom-Rechnung tarnt. Der Schädling namens Spy.BILL-T-Com verbreitet sich nach Erkenntnissen der Experten mit hoher Geschwindigkeit über Spam-Listen.

Die E-Mail führt als Anhang eine .CHM-Datei mit. Das CHM-Format steht für Windows-Hilfedateien. Betroffen sind dadurch nur Windows-Betriebssysteme. Beim Öffnen der Datei wird eine HTML-Seite dargestellt, die dann den Trojaner Spy.BILL-T-Com ausführt, berichtet H+BEDV.

Dabei wird die Datei CSRSS.EXE in das Windows-Systemverzeichnis kopiert und die TCP-Ports 2050, 2121 und 2355 geöffnet. Der Trojaner ist dann bereit für eingehende Kommandos von Angreifern.

Mails, die den Trojaner einzuschleusen versuchen, kommen unter dem Absender: Rechnung-online@telekom.de.

Der kryptische Betreff lautet: =?koi8-r?B?VGVsZWtvbS1SZWNobnVuZyAy?=

Im Text wird versucht dem Opfer ein Anschreiben der Telekom vorzugaukeln nach folgendem Muster:

"Sehr geehrte Kundin, sehr geehrter Kunde,

Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Nutzen Sie auch unter www.telekom.de/rechnung die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von Rechnung Online.

Mit freundlichen Grüßen

Ihre Deutsche Telekom

Anhang: Rechnung18745514.chm"

H+BEDV hat die Signaturen seines Antiviren-Produkts AntiVir bereits aktualisiert, die übrigen Hersteller von Antiviren-Lösungen reagieren in der Regel im Verbund auf neue Bedrohungen. (uba)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF herunterladen können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.