Neuer Rechnung.PDF.exe Trojaner! Diesmal ein Rootkit

Thema ist geschlossen!
Thema ist geschlossen!
08.11.2005, 12:16
Moderator

Beiträge: 7805
#1 Heute ist hier wieder ein neuer Trojaner aufgeschlagen, wieder als Telekomrechnung getarnt und als Anhang ein Backdoor, der auch ein Rootkit installiert.

Wenn dieser aktiv ist, sieht man von ihm nichts, weder die Dateien noch die Starteintraege. Er scheint auh zu versuchen sich via P2P Netzwerke zu verbinden. Zumindest erstellt er einen Ordner, in dem er diverse Dateien mit Namen von the bat! und NAV erstellt.

Rootkitdetectoren wie Blacklight und Rootkitrevealer lassen sich nicht starten oder geben eine Fehlermeldung aus.

Die orginal Mail, die der GMX Spamfilter allerdings abgefangen hat ist:
---cut---
Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 628.97 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
---cut---
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.11.2005, 12:17
Moderator
Themenstarter

Beiträge: 7805
#2 Die meisten AV-Programme erkennen diese Malware schon, allerdings patzten einige bei den Dingen, die installiert werden.

G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-t
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.11.2005, 16:27
Moderator
Themenstarter

Beiträge: 7805
#3 Laut Eset werden tans von folgende Banken "gestohlen":

deutsche-bank Tan homebanking-berlin TAN vr-ebanking TAN niedersachsen TAN networld-ebanking TAN dresdner-privat q citibank.de I2 meine.deutsche-bank mCk schleswig TAN diba TANBOX sachsen TAN thueringen TAN gad.de KktNrTanEnz norisbank.de tan sbroker.de tan
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende