Neuer Rechnung.PDF.exe Trojaner! Diesmal ein Rootkit

#0
08.11.2005, 12:13
Moderator

Beiträge: 7805
#1 So heute ist wieder ein neuer Trojaner hier aufgeschlagen, wieder als Telekomrechnung getarnt und als Anhang ein Backdoor, der auch ein Rootkit installiert.

Wenn dieser aktiv ist, sieht man von ihm nichts, weder die Dateien noch die Starteintraege. Er scheint auh zu versuchen sich via P2P Netzwerke zu verbinden. Zumindest erstellt er einen Ordner, in dem er diverse Dateien mit Namen von the bat! und NAV erstellt.

Rootkitdetectoren wie Blacklight und Rootkitrevealer lassen sich nicht starten oder geben eine Fehlermeldung aus.

Die orginal Mail, die der GMX Spamfilter allerdings abgefangen hat ist:

---cut---
Date: Mon, 07 Nov 2005 03:53:56 -0800
From: Telekom <Rechnung-Online@t-com.net>
X-Mailer: The Bat! (v2.00.2) Personal

Message-ID: <2667487361.20051107035356@t-com.net>
To: Raman <raman@*****l.de>
Subject: Rechnung Telekom


Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 628.97 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
---cut---
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.11.2005, 12:13
Moderator
Themenstarter

Beiträge: 7805
#2 Die meisten AV-Programme erkennen diese Malware schon, allerdings patzten einige bei den Dingen, die installiert werden.

G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-t
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.11.2005, 16:26
Moderator
Themenstarter

Beiträge: 7805
#3 Laut Eset werden tans von folgende Banken "gestohlen":

deutsche-bank Tan homebanking-berlin TAN vr-ebanking TAN niedersachsen TAN networld-ebanking TAN dresdner-privat q citibank.de I2 meine.deutsche-bank mCk schleswig TAN diba TANBOX sachsen TAN thueringen TAN gad.de KktNrTanEnz norisbank.de tan sbroker.de tan
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.11.2005, 12:13
...neu hier

Beiträge: 2
#4 Hi, und Thx for info :]
---------------------------
na toll, diese email kommt mir so bekannt vor *bösesahn*
ich glaub ich hatte diese schon mal vor 2-3 wochen nur kurz geöffnet- als ich merkte das es ein "fake" sein musste, löschte ich wieder diese email ^^

Mfg IceCold
Seitenanfang Seitenende
28.11.2005, 12:35
Member
Avatar Gool

Beiträge: 4730
#5 So lang man das Attachment nicht öffnet, besteht keine Gefahr ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende