Neue Rechnung.pdf.exe Trojaner, "Absender" Opodo.de, t-com.net Einstellungen

[raman]

Gerade ist hier eine Mail aufgeschlagen mit einer Exe als Anhang. Diesmal wird dem User vorgegaukelt, das Reisetickets an ihn Versand wurden. Vorherige Mails dieser Art waren als Telekomrechnung getarnt. Bei dieser wird Opodo.de als Aufmacher genutzt.

Hier der Mailtext:
"Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!


Ihr Opodo-Team"

Zur Zeit wird der Anhang von diesen AV-Programmen erkannt:

BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found Trojan.Downloader.Small-674
F-Prot Antivirus Found unknown virus (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)

Der Beitrag wurde von raman bearbeitet: 10.08.2005, 21:16

[Yopie]

Der Dateiname ist Original gewesen.

Hier der Quelltext (ohne Datei). Der X-Virus-Scan-Header wird vermutlich auch vom Schädling eingefügt!

CODE

Return-Path: <Rechnung-Online@t-com.net>
X-Flags: 0000
Delivered-To: GMX delivery to meine Adresse
Received: from pop.gmx.net [213.165.64.20]
by localhost with POP3 (fetchmail-6.2.5.2)
for mich@localhost (single-drop); Tue, 01 Nov 2005 12:00:12 +0100 (CET)
Received: (qmail invoked by alias); 01 Nov 2005 10:50:39 -0000
Received: from mx29.web.de (EHLO mx29.web.de) [217.72.192.237]
 by mx0.gmx.net (mx013) with SMTP; 01 Nov 2005 11:50:39 +0100
Received: from [211.177.224.230] (helo=-1208523120)
by mx29.web.de with smtp (WEB.DE 4.105 #323)
id 1EWtiu-0001PY-00
for meine Adresse; Tue, 01 Nov 2005 11:50:37 +0100
Received: from t-com.net (140705056 [142906408])
by badtzmail.com (Qmailv1) with ESMTP id B39CDDA30C
for <meine Adresse>; Tue, 01 Nov 2005 02:49:17 -0800
Date: Tue, 01 Nov 2005 02:49:17 -0800
From: Deutsche Telekom AG <Rechnung-Online[at]t-com.net>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: <8095289737.20051101024917@t-com.net>
To: meine Adresse
Subject: Telekom Rechnung Online Monat Oktober 2005
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------4C94243F315013B"
X-Virus-Scanned: Norton
X-WEBDE-FORWARD: meine Adressen
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: -2 (not scanned, spam filter disabled)
X-GMX-UID: 1i0VY48zeSEkf/RNaHQhaXN1IGRvb8Aq

This is a multi-part message in MIME format.

------------4C94243F315013B
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----------042EDA9146E1011"

------------042EDA9146E1011
Content-Type: multipart/alternative;
boundary="----------C5D59F9CECE3DF6"

------------C5D59F9CECE3DF6
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

Guten Tag,
die Gesamtsumme fur Ihre Rechnung im Monat Oktober 2005 betragt: 388.90 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsubersicht.
Sind Sie Unternehmer und benotigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Moglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "personliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusatzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir au?erdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten konnen, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WunschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".


Mit freundlichen Gru?en

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschaftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
------------C5D59F9CECE3DF6
Content-Type: text/html
Content-Transfer-Encoding: 7bit

<html>
<body>
Guten Tag,
<p>die Gesamtsumme f&uuml;r Ihre Rechnung im Monat Oktober 2005 betr&auml;gt: 758.55 Euro. <br>
 Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungs&uuml;bersicht.<br>
 Sind Sie Unternehmer und ben&ouml;tigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die M&ouml;glichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie k&ouml;nnen diese im Bereich &quot;pers&ouml;nliche Einstellungen&quot; aktivieren.<br>
 Sollten Sie dem Finanzamt bisher eine von Ihnen zus&auml;tzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir au&szlig;erdem zu beachten, dass wir Ihnen diese nur noch in Form eines &quot;Rechungsdoppels&quot; bieten k&ouml;nnen, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.</p>

<p>Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort &quot;Digitale Signatur&quot;.<br>
 =================================<br>
 RECHNUNG ONLINE - TIPP DES MONATS<br>
 Die neuen W&uuml;nschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.<br>
 Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:<br>
 www.t-com.de/aktuell.<br>
 =================================</p>
<p>Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf &quot;Kontakt&quot;.<br>
</p>
<p>Mit freundlichen Gr&uuml;&szlig;en</p>

<p>Ihre T-Com</p>
<p>------------------------------------------------------<br>
 Aktuelle Informationen zu den Allgemeinen Gesch&auml;ftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.</p>
</body>
</html>