H+BEDV, der Hersteller des kostenlosen Virenscanners Antivir, warnt vor einem neuen gefährlichem Trojaner namens „TR/Spy.BILL-T-Com“. Er tarnt sich als Telekom-Rechnung und „verbreitet sich über Spamlisten mit sehr hoher Geschwindigkeit“, so die Security-Firma.
Betroffen sind Nutzer der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003. Die Email führt als Anhang eine .CHM-Datei mit. Beim Öffnen dieser Windowshilfedatei (.CHM) wird eine HTML-Seite dargestellt, welche den eigentlichen Trojaner TR/Spy.BILL-T-Com ausführt.
Dabei wird die Datei CSRSS.EXE in das Windows Systemverzeichnis kopiert. Die TCP Ports 2050, 2121 und 2355 werden automatisch geöffnet, darauf wartet der Malcode auf eingehende Kommandos. Als Absender fungiert die gefakete Adresse „
Der Text der Mail lautet wie folgt:
Sehr geehrte Kundin, sehr geehrter Kunde, Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und – soweit von Ihnen beauftragt – die Einzelverbindungsübersicht.
Nutzen Sie auch unter www.telekom.de/rechnung die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter „Hilfe/FAQ“ auch nützliche Tipps zur Nutzung von Rechnung Online.
Mit freundlichen Grüßen
Ihre Deutsche Telekom
Als Anhang ist die Datei „Rechnung18745514.chm“ beigefügt. Ein kostenloser Schutz gegen den neuen Trojaner ist unter Antivir.de verfügbar.
Neueste Kommentare
4 Kommentare zu Trojaner tarnt sich als Telekom-Rechnung
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Trojaner tarnt sich als Telekom-Rechnung
Das schlimme an der Sache ist:
Einen Tag vorher erfolgte ein Telefonanruf (wurde vom Sohn angenommen), die Rechnung ist nicht bezahlt und morgen wird der T-Anschluss gesperrt.
Hinzu kommt, dass im Quelltext des Mails eine Adresse mit "Nazi@…" stand.
Anhang zu dieser vermeintlichen Rechnung
Hallo
Bei mir lief heute auch so eine mail auf. Allerdings ist der Name des Anhangs:
"Rechnung.pdf.exe".
Gruß
Rolf
Nicht neu
Diese Mail wurde schon Mitte November verschickt. Das Fiese ist, dass darin auch eine "Kundennummer" steht, die das Ganze noch glaubwürdiger erscheinen läßt.
Schlechte Wahl der Überschrift
Also ich finde die Überschrift schlecht gewählt, hier entsteht der Eindruck, das die Telekom diesen Trojaner programmiert oder in Auftrag gegeben hat.
Anmerkung von ZDNet:
Sie haben recht – wurde korrigiert.
Die Redaktion