Trojaner tarnt sich als Telekom-Rechnung

H+BEDV, der Hersteller des kostenlosen Virenscanners Antivir, warnt vor einem neuen gefährlichem Trojaner namens „TR/Spy.BILL-T-Com“. Er tarnt sich als Telekom-Rechnung und „verbreitet sich über Spamlisten mit sehr hoher Geschwindigkeit“, so die Security-Firma.

Betroffen sind Nutzer der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003. Die Email führt als Anhang eine .CHM-Datei mit. Beim Öffnen dieser Windowshilfedatei (.CHM) wird eine HTML-Seite dargestellt, welche den eigentlichen Trojaner TR/Spy.BILL-T-Com ausführt.

Dabei wird die Datei CSRSS.EXE in das Windows Systemverzeichnis kopiert. Die TCP Ports 2050, 2121 und 2355 werden automatisch geöffnet, darauf wartet der Malcode auf eingehende Kommandos. Als Absender fungiert die gefakete Adresse „„. Der Betreff lautet meist „=?koi8-r?B?VGVsZWtvbS1SZWNobnVuZyAy?=“

Der Text der Mail lautet wie folgt:

Sehr geehrte Kundin, sehr geehrter Kunde, Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und – soweit von Ihnen beauftragt – die Einzelverbindungsübersicht.

Nutzen Sie auch unter www.telekom.de/rechnung die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter „Hilfe/FAQ“ auch nützliche Tipps zur Nutzung von Rechnung Online.

Mit freundlichen Grüßen

Ihre Deutsche Telekom

Als Anhang ist die Datei „Rechnung18745514.chm“ beigefügt. Ein kostenloser Schutz gegen den neuen Trojaner ist unter Antivir.de verfügbar.