So heute ist wieder ein neuer Trojaner hier aufgeschlagen, wieder als Telekomrechnung getarnt und als Anhang ein Backdoor, der auch ein Rootkit installiert.
Wenn dieser aktiv ist, sieht man von ihm nichts, weder die Dateien noch die Starteintraege. Er scheint auh zu versuchen sich via P2P Netzwerke zu verbinden. Zumindest erstellt er einen Ordner, in dem er diverse Dateien mit Namen von the bat! und NAV erstellt.
Rootkitdetektoren wie Blacklight und Rootkitrevealer lassen sich nicht starten oder geben eine Fehlermeldung aus.
Die orginal Mail, die der GMX Spamfilter allerdings abgefangen hat ist:
---cut---
From: Telekom <Rechnung-Online@t-com.net>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
To: Raman <raman@******l.de>
Subject: Rechnung Telekom
Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 628.97 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.
Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Grüßen
Ihre T-Com
------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
---cut---
Die meisten AV-Programme erkennen diese Malware schon, allerdings patzen einige bei den Dingen, die installiert werden.
G:\giorot.rar/tBmp307.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rsdapi.dll Infected Trojan-Spy.Win32.Goldun.ej
G:\giorot.rar/wrmsrvice.sys Infected Rootkit.Win32.Agent.at
G:\giorot.rar/TheBat!7.51.256.exe Infected P2P-Worm.Win32.Goldun.b
G:\giorot.rar/rechnung.pdf.ex Infected Backdoor.Win32.Haxdoor.es
G:\giorot.rar/cpudev.sys Haxdor-tr
die letzte H+BEDV Erkennung lt. Newsletter seit 6.11.05 bis heute um 10uhr:
TR/Spy.Goldu.eh.4.A
TR/Spy.Goldu.eh.4.B
TR/Spy.Goldun.EI.1
TR/Dldr.Goldun.eh.1
TR/Spy.Goldun.eh.2
TR/Agent.BI
TR/Agent.JV
TR/Drop.Agent.CO
TR/Drop.Agent.XL
TR/Drop.Agent.YM
TR/Dldr.TCom.I
TR/Dldr.TCom.I.SYS
____________________
möglicherweise treffen die meisten zu.
Ja, Nod32 und Antivir bekommen einiges noch nicht, aber das sollte sich innerhalb der naechste(n) Stunde aendern.
Die Datei aus dem Anhang(Rechnung.PDF.EXE) erkennen aber inzwischen alle.
Ihr seit immer gleich auf den Barrikaden, wenn mal einer bei einer Malware was nicht erkennt!;) Das was Nod32 erkannt hat ist viel gegenueber den anderen. Wenn du willst, ist diese "Variantenerkennung" auch eine Art Heuristik und die hat ja angeschlagen!;)
Symantec und McAfee will ich mal ausnehmen - die haben zu viel andere Produkte mit am Start und existieren viel länger.
Und die anderen kann man wohl miteinander vergleichen. Kaspersky setzt seine Ressourcen eben auf Signaturen und super Unpacking, während Bitdefender ziemlich ausgeglichen verteilt und Eset den Ruf als Schnellster nicht verlieren will und somit auf Heuristik setzt.
Aber mal eine andere Frage: Warum ist die "Boston Cosulting Group" besser als "Roland Berger Strategy Consultants"? Oder ist es umgekehrt? Und wenn ja, warum?
Ein Mitarbeiter von Eset war so nett und hat das Ding mal auseinander genommen. Es verschickt seine aufgezeichneten Protokolle verschluesslt an verschiedene Server. Der Inhalt dieser Logdateien ist ebenfalls teilweise verschluesselt.
So wie es aussieht, fallen doch immer noch Leute auf diese Masche herein, obwohl sie nun wirklich alles andere als neu ist....
Laut Eset werden folgende Daten "gestohlen:
das rootkit stielt folgende bankdaten:
deutsche-bank Tan homebanking-berlin TAN vr-ebanking TAN niedersachsen TAN networld-ebanking TAN dresdner-privat q citibank.de I2 meine.deutsche-bank mCk schleswig TAN diba TANBOX sachsen TAN thueringen TAN gad.de KktNrTanEnz norisbank.de tan sbroker.de tan
Was wollen die mit TANs wenn die schon eingegeben ist und so?
Lucky
Ich denke, der blockt den Transfer der Tan zur Bank. Der Trojaneer nutzt so eine Art http Filter
Ja, das macht dann Sinn.
Lucky
[FONT=Times][SIZE=7]N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht - kann ihn aber nicht löschen. Ist das das Ding was mit der RTechnung kam ? Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war. Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen. Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?
der Ordner ist im windows\system32\?????? - leider bin ich jetzt bei Freunden und nicht an meinem PC (der kann ja nicht mehr..) darum weiß ich die Datei nicht genau.
Norton hat noch gemeldet - dann war ende. ..ich weiß selber, das man keine Anhänge öffnen soll...habe ienen Internet Shop und kriege täglich 100erte von mails. Öffne eigentlich nie was - war halt einmal unkonzentriert. Egal - Schelte wollte ich nicht. Nur Hilfe. Ärger habe ich genug..... Habe aber aus Deiner
antwort entnommen, das ich das System neu drauf packen muß...? *** !
Reicht nur das Betriebssystem oder ganz platt machen - denn das ist auf einer extra Festplatte...
Ein Update Pack für WinXP findest du hier:
http://www.computerbase.de/downloads/software/betriebssysteme/update_pack_windows_xp/
Und schon gibts wieder neue Rechnungen die in Umlauf sind.
http://www.heise.de/security/news/meldung/66841
Er ist hier auch gerade angekommen. Mal schauen....
hab ich heute auf arbeit auch im postkasten gesehen , eine tcom-rechnung an die 600€ und im anhang eine pdf.exe die von der SAV10 business edition aber erkannt wurde.
Falsche Ebay Rechnung installiert Troyaner.
http://www.pcwelt.de/news/sicherheit/51183/index.html#
Ja, ist hier auch aufgeschlagen. Bei mir gab es 3 Dateien, die dabei beteiligt waren.
Würde das ein OnAcess Virsenscanner verhindern, falls man da draufklicken würde.
Ein als pdf maskierter Anhang, da könnte ich reinfallen.
mfg
Es gibt wieder unseren monatlichen Besuch.
http://www.heise.de/security/news/meldung/76828
also ist des net eh immer der selbe klatsch... einmal heissts TR/Dldr.EbayBill.D, vorher hies es mit buchstabe TR/Dldr.EbayBill.C © am schluss, den webwasher schon vor langer zeit so nannte...
den letzten den ich "gefangen" hab wird als goldrun oder haxtor bezeichnet und von eTrust VET signature und VBA bis heut net erkannt... (habs eben hochgeladen)... jedoch ist es bei eTrust "egal" da er auch die Inoculate engine hat die es kennt...
dennoch...mutig wer auf das ewige remake der ebay trojaner reinfällt....
edit2: weg..unsinn...
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)