Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Neue Rechnung.pdf.exe Trojaner
Rokop Security > Neues von Rokop Security > News
raman
Gerade ist hier eine Mail aufgeschlagen mit einer Exe als Anhang. Diesmal wird dem User vorgegaukelt, das Reisetickets an ihn Versand wurden. Vorherige Mails dieser Art waren als Telekomrechnung getarnt. Bei dieser wird Opodo.de als Aufmacher genutzt.

Hier der Mailtext:
"Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!


Ihr Opodo-Team"

Zur Zeit wird der Anhang von diesen AV-Programmen erkannt:

BitDefender Found BehavesLike:Trojan.Downloader (probable variant)
ClamAV Found Trojan.Downloader.Small-674
F-Prot Antivirus Found unknown virus (probable variant)
NOD32 Found probably unknown NewHeur_PE (probable variant)
raman
Anscheinend wird jetzt versucht den Trojaner mit mehreren Mail Varianten zu ueberzeugen. Gerade ist auch noh diese Mail hier angekommen, wieder als Telekom Aufmachung:

"Guten Tag,



die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 547,18 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.

Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.



Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".

=================================

RECHNUNG ONLINE - TIPP DES MONATS

Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.

Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:

www.t-com.de/aktuell.

=================================



Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".





Mit freundlichen Grüßen



Ihre T-Com"
Smoky
Kav erkennt nun auch . als Trojan-Downloader.Win32.Small.bgp
kpi
Als Rechnungsversion der Telekom hab ich den Trojaner auch schon bekommen. Mi der Endung pdf.exe ! Und der Rechnungssumme von 1500€ für den Monat Juni05
thumbdown.gif thumbdown.gif thumbdown.gif
Remover
PC Welt berichtet mittlerweile auch darueber recht ausfuehrlich:

http://www.pcwelt.de/news/sicherheit/117711/index.html
Yopie
Hier jetzt auch aufgeschlagen, verschickt wurde er über einen ISP in Washington, DC. ph34r.gif
Yopie
Es scheint wieder eine neue Version zu geben.

Das Jotti-Ergebnis (wurde, wenn überhaupt, dann nur heuristisch erkannt!):
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found BehavesLike:Win32.ExplorerHijack (probable variant)
ClamAV
Found nothing
Dr.Web
Found DLOADER.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan-PSW.LdPinch.5

Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?
Domino
QUOTE(Yopie @ 01.11.2005, 12:12)
Gibts eine Sammeladresse, an die man die Datei schicken kann, damit die Signatur eingepflegt wird?
[right][snapback]116705[/snapback][/right]

Schick die mal an virus ät rokop-security.de
jotti, leitet die aber imho auch weiter.



Domino


Yopie
Jau, stimmt! Schick ich aber noch weiter.

Die Mail kam übrigens aus Südkorea:

IPv4 Address : 211.177.224.0-211.177.224.255
Network Name : HANANET-INFRA
Connect ISP Name : HANANET
Connect Date : 20000728
Registration Date : 20041013

[ Organization Information ]
Organization ID : ORG3930
Org Name : Hanaro Telecom Inc.
State : SEOUL
Address : Shindongah Bldg, 43, Taepyeongno2-ga, Jung-gu
Zip Code : 100-733

Evtl. offener Mailserver? IP 211.177.224.230
raman
Das ist moeglich, diese Trojaner wurden oeffters ueber BOT Netze verschickt. Also muss es nicht unbedingt eine deutsche herkunft sein!:)
raman
Wie lautete denn der Orginale Dateiname, bzw die komplette Mail? Wenn du sie komplett forwarden koenntst.......
Yopie
Der Dateiname ist Original gewesen.

Hier der Quelltext (ohne Datei). Der X-Virus-Scan-Header wird vermutlich auch vom Schädling eingefügt!

CODE
Return-Path: <Rechnung-Online@t-com.net>
X-Flags: 0000
Delivered-To: GMX delivery to meine Adresse
Received: from pop.gmx.net [213.165.64.20]
by localhost with POP3 (fetchmail-6.2.5.2)
for mich@localhost (single-drop); Tue, 01 Nov 2005 12:00:12 +0100 (CET)
Received: (qmail invoked by alias); 01 Nov 2005 10:50:39 -0000
Received: from mx29.web.de (EHLO mx29.web.de) [217.72.192.237]
 by mx0.gmx.net (mx013) with SMTP; 01 Nov 2005 11:50:39 +0100
Received: from [211.177.224.230] (helo=-1208523120)
by mx29.web.de with smtp (WEB.DE 4.105 #323)
id 1EWtiu-0001PY-00
for meine Adresse; Tue, 01 Nov 2005 11:50:37 +0100
Received: from t-com.net (140705056 [142906408])
by badtzmail.com (Qmailv1) with ESMTP id B39CDDA30C
for <meine Adresse>; Tue, 01 Nov 2005 02:49:17 -0800
Date: Tue, 01 Nov 2005 02:49:17 -0800
From: Deutsche Telekom AG <Rechnung-Online[at]t-com.net>
X-Mailer: The Bat! (v2.00.6) Personal
X-Priority: 3
Message-ID: <8095289737.20051101024917@t-com.net>
To: meine Adresse
Subject: Telekom Rechnung Online Monat Oktober 2005
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------4C94243F315013B"
X-Virus-Scanned: Norton
X-WEBDE-FORWARD: meine Adressen
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: -2 (not scanned, spam filter disabled)
X-GMX-UID: 1i0VY48zeSEkf/RNaHQhaXN1IGRvb8Aq

This is a multi-part message in MIME format.

------------4C94243F315013B
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----------042EDA9146E1011"

------------042EDA9146E1011
Content-Type: multipart/alternative;
boundary="----------C5D59F9CECE3DF6"

------------C5D59F9CECE3DF6
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

Guten Tag,
die Gesamtsumme fur Ihre Rechnung im Monat Oktober 2005 betragt: 388.90 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsubersicht.
Sind Sie Unternehmer und benotigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Moglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "personliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusatzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir au?erdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten konnen, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WunschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".


Mit freundlichen Gru?en

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschaftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
------------C5D59F9CECE3DF6
Content-Type: text/html
Content-Transfer-Encoding: 7bit

<html>
<body>
Guten Tag,
<p>die Gesamtsumme f&uuml;r Ihre Rechnung im Monat Oktober 2005 betr&auml;gt: 758.55 Euro. <br>
 Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungs&uuml;bersicht.<br>
 Sind Sie Unternehmer und ben&ouml;tigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die M&ouml;glichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie k&ouml;nnen diese im Bereich &quot;pers&ouml;nliche Einstellungen&quot; aktivieren.<br>
 Sollten Sie dem Finanzamt bisher eine von Ihnen zus&auml;tzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir au&szlig;erdem zu beachten, dass wir Ihnen diese nur noch in Form eines &quot;Rechungsdoppels&quot; bieten k&ouml;nnen, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.</p>

<p>Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort &quot;Digitale Signatur&quot;.<br>
 =================================<br>
 RECHNUNG ONLINE - TIPP DES MONATS<br>
 Die neuen W&uuml;nschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.<br>
 Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:<br>
 www.t-com.de/aktuell.<br>
 =================================</p>
<p>Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf &quot;Kontakt&quot;.<br>
</p>
<p>Mit freundlichen Gr&uuml;&szlig;en</p>

<p>Ihre T-Com</p>
<p>------------------------------------------------------<br>
 Aktuelle Informationen zu den Allgemeinen Gesch&auml;ftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.</p>
</body>
</html>
Yopie
Siehe auch <o0b50y6d782f.dlg@schrottadresse.de> bzw. http://groups.google.de/group/de.comp.secu...d64a1f43d72daa0
raman
Komischerweise sind alle(!) Dateien, die es herunterladen will nicht mehr auf den Servern drauf und er sucht einige Server ab!
Yopie
Ich kann nicht glauben, dass die Serverbetreiber so schnell sind. Vielleicht hat der Verursacher kalte Füße bekommen?

Wo sind die Server? Mein Tip wäre Korea, Ukraine, Brasilien?
raman
Auf anhieb wuerde ich sagen, das sind alle russische, bis auf einen deutschen. Das sind wohl alles Server, die nicht gut abgesichert waren und so wurde versucht da die Dateien zu positionieren!?
Yopie
Ich hatte vermutet, es wären Server bei Spam-Providern gewesen. Aber Russland passt ja auch ganz gut dazu.
Yopie
Heute nacht gabs wohl wieder einen Wurm-Run mit Telekom-Trojan-Downloadern, bei mir sind drei Stück auf drei verschiedenen Adressen aufgeschlagen, bei Jotti werden sie nur von vier Scannern erkannt.

Versandt wurden sie über Kisten in China, Brasilien und Argentinien.

Mail an virus[at]rokop-security.de ist raus zwecks Verteilung an die AV-Firmen.
Joerg
Ist gerade angekommen, ich leite es an die entsprechenden Personen weiter.
Vielen Dank!
raman
Nur als kleine Zwischenbemerkung, auch diese Vaiante laedt bis jetzt nichts herunter, da, wie beim letzten Trojaner auch, alle Downloadquellen nicht mit der Datei bestueckt sind, die er herunterladen moechte.
rock
ich schätz da kennen einige schon wieder was nicht...kein mc afee, kein symantec, bitdefender, und so weiter:

Das ist das Ergebnis von VirusTotal:
This is a report processed by VirusTotal on 11/05/2005 at 18:36:15 (CET) after scanning the file "T-Com-Rechnung.pdf.exe" file.
Antivirus Version Update Result

AntiVir 6.32.0.6 11.05.2005 TR/Dldr.TComBill.H
Avast 4.6.695.0 11.04.2005 no virus found
AVG 718 11.03.2005 no virus found

Avira 6.32.0.6 11.05.2005 TR/Dldr.TComBill.H
BitDefender 7.2 11.05.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 TrojanDownloader.Agent.yn
ClamAV devel-20050917 11.05.2005 no virus found
DrWeb 4.33 11.05.2005 Trojan.DownLoader.5160
eTrust-Iris 7.1.194.0 11.04.2005 Win32/FWKill!Trojan
eTrust-Vet 11.9.1.0 11.04.2005 no virus found
Fortinet 2.48.0.0 11.04.2005 suspicious
F-Prot 3.16c 11.05.2005 no virus found
Ikarus 0.2.59.0 11.04.2005 no virus found

Kaspersky 4.0.2.24 11.05.2005 Trojan-Downloader.Win32.Agent.yn
McAfee 4621 11.05.2005 no virus found
NOD32v2 1.1276 11.04.2005 a variant of Win32/TrojanDownloader.Agent.UF
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.05.2005 no virus found

Sophos 3.99.0 11.05.2005 Troj/Dloader-YF
Symantec 8.0 11.05.2005 no virus found
TheHacker 5.9.1.029 11.05.2005 no virus found

VBA32 3.10.4 11.04.2005 suspected of Trojan-Downloader.Agent.36



Stefan
Es ist doch immer wieder das selbe.
Mal erkennt der eine Scanner etwas eher als die anderen, mal ist es wiederum ein anderer.
Das wird auch immer so bleiben.
Voyager
@rock

hab ich dir nicht schonmal gesagt das die onlinescanner nicht alles kennen .

QUOTE
Quelle: C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R07KF4H6\ysb[1].exe
Risikokategorie: Adware
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Adware.Istbar
Durchgeführte Aktion: Erkannt


QUOTE
This is a report processed by VirusTotal on 11/05/2005 at 19:42:39 (CET) after scanning the file "ysb.exe" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.05.2005 TR/Dldr.IstBar.IT
Avast 4.6.695.0 11.04.2005 Win32:IstBar-AJ
AVG 718 11.03.2005 no virus found
Avira 6.32.0.6 11.05.2005 TR/Dldr.IstBar.IT
BitDefender 7.2 11.05.2005 no virus found
CAT-QuickHeal 8.00 11.05.2005 TrojanDownloader.INService.ja
ClamAV devel-20050917 11.05.2005 no virus found
DrWeb 4.33 11.05.2005 Trojan.Isbar.336
eTrust-Iris 7.1.194.0 11.04.2005 no virus found
eTrust-Vet 11.9.1.0 11.04.2005 no virus found
Fortinet 2.48.0.0 11.04.2005 W32/Istbar.DU-tr
F-Prot 3.16c 11.05.2005 no virus found
Ikarus 0.2.59.0 11.04.2005 no virus found
Kaspersky 4.0.2.24 11.05.2005 Trojan-Downloader.Win32.INService.ja
McAfee 4621 11.05.2005 potentially unwanted program Adware-ISTbar
NOD32v2 1.1276 11.04.2005 no virus found
Norman 5.70.10 11.04.2005 no virus found
Panda 8.02.00 11.05.2005 no virus found
Sophos 3.99.0 11.05.2005 no virus found
Symantec 8.0 11.05.2005 no virus found
TheHacker 5.9.1.029 11.05.2005 Trojan/Downloader.IstBar.ja
VBA32 3.10.4 11.04.2005 Trojan-Downloader.Win32.INService.ja


wink.gif
raman
Das Symantec-Produkt, welches VT insetzt, ist afaik nicht Norton, sondern die Enterprise(?)/Firmen Version. Da kann es unterschiede geben.
rock
ja nur ist nicht nur smyntec sondern auch mc afee, panda, bitdefender, auch kaspersky etc...manchmal dabei die scheinbar mit uralten engines verwendet werden - oder wie soll das gehen bei ergebnissen wo gleich die hälfte danebensteht...war ja letztens auch so...

in einigen fällen wo ich selbst samples hochgeladen habe, stand auch bei mc afee no virus fund...und das war auch wirklich so! leider...

ph34r.gif





raman
Bei einigen steht dabei, was genutzt wird. Z.B. nehmen sie auch noch KAV 4.0 anstatt 4.5 oder mindestens 5.x, Bei Antivir und Nod32 scheint es genauso zu sein.
rock
danke für die info.

ph34r.gif
raman
Bei Antivir ist es wohl korrekt, da die Verkaufsversion von Antivir noch die Version 6.32.0.6 hat.
maverik
QUOTE(rock @ 05.11.2005, 19:34)
Das ist das Ergebnis von VirusTotal:
This is a report processed by VirusTotal on 11/05/2005 at 18:36:15 (CET) after scanning the file "T-Com-Rechnung.pdf.exe" file.
Antivirus Version Update Result

Avast 4.6.695.0 11.04.2005 no virus found


welche avast version soll das sein?? das sind die derzeit aktuellen versionen auf avast. com.

avast! 4
VPS: 0544-8 4.11.2005
avast! 3
VPS: 7.70-9616 4.11.2005
avast! 4 Home/Pro Edition
program: 4.6.691 9.7.2005
avast! Server Edition
program: 4.6.489 20.7.2005
ADNM
program: 4.6.378 20.7.2005
avast! Managed Client
program: 4.6.394 20.7.2005

die hier genannte version, avast! 4 Home/Pro Edition program: 4.6.691 9.7.2005 hat auf unserem laptop den besagten trojaner erst vor einer woche noch einwandfrei eliminiert.

so long maverik
raman
Das sind kleine Updates, die Avast von Zeit zu Zeit herausbringt. Vieleicht gab es da einen kleineren Bug, der so nur bei VT auftrat, bzw behoben werden musste, damit sie damit arbeiten koennen.Ich denke innerhalb der naechsten Woche(n) wird die 4.6.7xx kommen. Eine Beta dazu gibt es wohl schon. Das Avast diesen Trojaner nicht kennt, ist normal, das ist eine komplett andere Version als die von letzter Woche.
rock
morgen,

ich find das aber recht eigenartig...das manche scanner da mit alten signaturen/versionen/bugs etc. antreten, gegen manche oder einen...der aktuell dasteht.

so kann man sich täuschen und unabsichtlich andere hersteller "schlecht machen"!
(als testender mit dem ergebnis was man dann erhaltet!)

ph34r.gif
raman
Das koeennen leider nur die jungs von VT beantworten und es muss nicht unbedingt deren Schuld sein. Sie werden Konsolenversionen der Scanner nutzen, bzw mit Optionen arbeiten. Vieleicht haben einige neuere Versionen dies Optionen, bzw konsolenscanner nicht?

Es blieben ja auch nur KAV und NOD32 ueber, so wie ich das jetzt sehe
rock
ja schade aber trotzdem...es zählt das ergebnis...und das passt einfach nicht.

ich hatte immer virustotal empfohlen...auch wegen der renomierten scanner die bei jotti nicht dabei sind. (werd ich mir jetzt überlegen - ob es sinnvoll ist weiterhin VT zu verwednen)!

ph34r.gif

sengel
ja auch an sengel@XXX.de

Gorgo: Mailaddy ungültig gemacht! Wenn du Malware sammeln möchtest, dann tu das bitte woanders!
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.