Neue Rechnung.pdf.exe Trojaner, "Absender" Opodo.de, t-com.net Einstellungen

[raman]

Gerade ist hier eine Mail aufgeschlagen mit einer Exe als Anhang. Diesmal wird dem User vorgegaukelt, das Reisetickets an ihn Versand wurden. Vorherige Mails dieser Art waren als Telekomrechnung getarnt. Bei dieser wird Opodo.de als Aufmacher genutzt.

Hier der Mailtext:
"Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!


Ihr Opodo-Team"

Zur Zeit wird der Anhang von diesen AV-Programmen erkannt:

BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found Trojan.Downloader.Small-674
F-Prot Antivirus Found unknown virus (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)

Der Beitrag wurde von raman bearbeitet: 10.08.2005, 21:16

[raman]

Anscheinend wird jetzt versucht den Trojaner mit mehreren Mail Varianten zu ueberzeugen. Gerade ist auch noh diese Mail hier angekommen, wieder als Telekom Aufmachung:

"Guten Tag,



die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 547,18 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.

Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.



Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".

=================================

RECHNUNG ONLINE - TIPP DES MONATS

Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.

Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:

www.t-com.de/aktuell.

=================================



Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".





Mit freundlichen Grüßen



Ihre T-Com"

[Smoky]

Kav erkennt nun auch . als Trojan-Downloader.Win32.Small.bgp

[kpi]

Als Rechnungsversion der Telekom hab ich den Trojaner auch schon bekommen. Mi der Endung pdf.exe ! Und der Rechnungssumme von 1500€ für den Monat Juni05

[Remover]

PC Welt berichtet mittlerweile auch darueber recht ausfuehrlich:

http://www.pcwelt.de/news/sicherheit/117711/index.html

[Yopie]

Hier jetzt auch aufgeschlagen, verschickt wurde er über einen ISP in Washington, DC.

Der Beitrag wurde von Yopie bearbeitet: 12.08.2005, 02:36

[Yopie]

Es scheint wieder eine neue Version zu geben.

Das Jotti-Ergebnis (wurde, wenn überhaupt, dann nur heuristisch erkannt!):
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found BehavesLike:Win32.ExplorerHijack (probable variant)
ClamAV
Found nothing
Dr.Web
Found DLOADER.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan-PSW.LdPinch.5

Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?

Der Beitrag wurde von Yopie bearbeitet: 01.11.2005, 12:14

[Domino]

Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?
[right][snapback]116705[/snapback][/right]

Schick die mal an virus ät rokop-security.de
jotti, leitet die aber imho auch weiter.



Domino

[Yopie]

Jau, stimmt! Schick ich aber noch weiter.

Die Mail kam übrigens aus Südkorea:

IPv4 Address : 211.177.224.0-211.177.224.255
Network Name : HANANET-INFRA
Connect ISP Name : HANANET
Connect Date : 20000728
Registration Date : 20041013

[ Organization Information ]
Organization ID : ORG3930
Org Name : Hanaro Telecom Inc.
State : SEOUL
Address : Shindongah Bldg, 43, Taepyeongno2-ga, Jung-gu
Zip Code : 100-733

Evtl. offener Mailserver? IP 211.177.224.230

[raman]

Das ist moeglich, diese Trojaner wurden oeffters ueber BOT Netze verschickt. Also muss es nicht unbedingt eine deutsche herkunft sein!:)

[raman]

Wie lautete denn der Orginale Dateiname, bzw die komplette Mail? Wenn du sie komplett forwarden koenntst.......

[Yopie]

Der Dateiname ist Original gewesen.

Hier der Quelltext (ohne Datei). Der X-Virus-Scan-Header wird vermutlich auch vom Schädling eingefügt!

CODE

Return-Path: <Rechnung-Online@t-com.net>
X-Flags: 0000
Delivered-To: GMX delivery to meine Adresse
Received: from pop.gmx.net [213.165.64.20]
by localhost with POP3 (fetchmail-6.2.5.2)
for mich@localhost (single-drop); Tue, 01 Nov 2005 12:00:12 +0100 (CET)
Received: (qmail invoked by alias); 01 Nov 2005 10:50:39 -0000
Received: from mx29.web.de (EHLO mx29.web.de) [217.72.192.237]
 by mx0.gmx.net (mx013) with SMTP; 01 Nov 2005 11:50:39 +0100
Received: from [211.177.224.230] (helo=-1208523120)
by mx29.web.de with smtp (WEB.DE 4.105 #323)
id 1EWtiu-0001PY-00
for meine Adresse; Tue, 01 Nov 2005 11:50:37 +0100
Received: from t-com.net (140705056 [142906408])
by badtzmail.com (Qmailv1) with ESMTP id B39CDDA30C
for <meine Adresse>; Tue, 01 Nov 2005 02:49:17 -0800
Date: Tue, 01 Nov 2005 02:49:17 -0800
From: Deutsche Telekom AG <Rechnung-Online[at]t-com.net>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: <8095289737.20051101024917@t-com.net>
To: meine Adresse
Subject: Telekom Rechnung Online Monat Oktober 2005
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------4C94243F315013B"
X-Virus-Scanned: Norton
X-WEBDE-FORWARD: meine Adressen
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: -2 (not scanned, spam filter disabled)
X-GMX-UID: 1i0VY48zeSEkf/RNaHQhaXN1IGRvb8Aq

This is a multi-part message in MIME format.

------------4C94243F315013B
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----------042EDA9146E1011"

------------042EDA9146E1011
Content-Type: multipart/alternative;
boundary="----------C5D59F9CECE3DF6"

------------C5D59F9CECE3DF6
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

Guten Tag,
die Gesamtsumme fur Ihre Rechnung im Monat Oktober 2005 betragt: 388.90 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsubersicht.
Sind Sie Unternehmer und benotigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Moglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "personliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusatzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir au?erdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten konnen, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WunschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".


Mit freundlichen Gru?en

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschaftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
------------C5D59F9CECE3DF6
Content-Type: text/html
Content-Transfer-Encoding: 7bit

<html>
<body>
Guten Tag,
<p>die Gesamtsumme f&uuml;r Ihre Rechnung im Monat Oktober 2005 betr&auml;gt: 758.55 Euro. <br>
 Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungs&uuml;bersicht.<br>
 Sind Sie Unternehmer und ben&ouml;tigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die M&ouml;glichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie k&ouml;nnen diese im Bereich &quot;pers&ouml;nliche Einstellungen&quot; aktivieren.<br>
 Sollten Sie dem Finanzamt bisher eine von Ihnen zus&auml;tzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir au&szlig;erdem zu beachten, dass wir Ihnen diese nur noch in Form eines &quot;Rechungsdoppels&quot; bieten k&ouml;nnen, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.</p>

<p>Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort &quot;Digitale Signatur&quot;.<br>
 =================================<br>
 RECHNUNG ONLINE - TIPP DES MONATS<br>
 Die neuen W&uuml;nschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.<br>
 Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:<br>
 www.t-com.de/aktuell.<br>
 =================================</p>
<p>Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf &quot;Kontakt&quot;.<br>
</p>
<p>Mit freundlichen Gr&uuml;&szlig;en</p>

<p>Ihre T-Com</p>
<p>------------------------------------------------------<br>
 Aktuelle Informationen zu den Allgemeinen Gesch&auml;ftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.</p>
</body>
</html>

[Yopie]

Siehe auch <o0b50y6d782f.dlg@schrottadresse.de> bzw. http://groups.google.de/group/de.comp.secu...d64a1f43d72daa0

[raman]

Komischerweise sind alle(!) Dateien, die es herunterladen will nicht mehr auf den Servern drauf und er sucht einige Server ab!

[Yopie]

Ich kann nicht glauben, dass die Serverbetreiber so schnell sind. Vielleicht hat der Verursacher kalte Füße bekommen?

Wo sind die Server? Mein Tip wäre Korea, Ukraine, Brasilien?

[raman]

Auf anhieb wuerde ich sagen, das sind alle russische, bis auf einen deutschen. Das sind wohl alles Server, die nicht gut abgesichert waren und so wurde versucht da die Dateien zu positionieren!?

[Yopie]

Ich hatte vermutet, es wären Server bei Spam-Providern gewesen. Aber Russland passt ja auch ganz gut dazu.

[Yopie]

Heute nacht gabs wohl wieder einen Wurm-Run mit Telekom-Trojan-Downloadern, bei mir sind drei Stück auf drei verschiedenen Adressen aufgeschlagen, bei Jotti werden sie nur von vier Scannern erkannt.

Versandt wurden sie über Kisten in China, Brasilien und Argentinien.

Mail an virus[at]rokop-security.de ist raus zwecks Verteilung an die AV-Firmen.

[Gast_Joerg_*]

Ist gerade angekommen, ich leite es an die entsprechenden Personen weiter.
Vielen Dank!

[raman]

Nur als kleine Zwischenbemerkung, auch diese Vaiante laedt bis jetzt nichts herunter, da, wie beim letzten Trojaner auch, alle Downloadquellen nicht mit der Datei bestueckt sind, die er herunterladen moechte.