Trojaner im Umlauf, welcher sich als Telekom oder neuerdings als Opodo-Rechnung tarnt.

12.08.2005 Für Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 ergeht aus dem Hause H+BEDV Datentechnik eine Warnung vor dem neuesten Trojaner TR/Dldr.TComBill.C.

Der 6,425 Bytes große T-Downloader TR/Dldr.TComBill.C ist ein Trojaner, welcher sich als Telekom- bzw. Opodo-Rechnung tarnt. TR/Dldr.TComBill.C hat keine eigene Versandroutine, sondern wird über diverse Spamlisten versendet. Bisher sind zwei unterschiedliche Varianten der E-Mails verzeichnet worden. Zum einen als angebliche Rechnung der Telekom mit dem Anhang (T-com-Rechnung.pdf.exe) und zum anderen der Frima Opodo. Wird der, mit dem Laufzeitpacker FSG gepackte, Trojaner ausgeführt, so kopiert er sich mit selbigem Namen in das Windows Verzeichnis und wird beim nächsten Start, durch selbsterstellte Registrierungseinträge, gestartet. Beim Start werden zwei Backdoor PE Files der Variante BDS/Dumador.DO nachgeladen.


Folgend der Aufbau der angeblichen Opodo-Rechnung


Betreff (SUBJECT): Ihre Opodo Tickets wurden bereits versandt
Emailtext (BODY):


Sehr geehrter Opodo-Kunde,


vielen Dank für Ihre Buchung bei Opodo. Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu. Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung. Bitte begleichen Sie umgehend die offene Rechnung: 759,99 Euro (im Anhang beigelegt).
Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23Uhr und am Wochenende von 8 bis 18 Uhr für Sie da. Denken Sei daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der gebuchten Fluggesellschaft rückzubestätigen. Wenn Sei versäumen Ihre Buchung direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer Stornierung führen.
Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen. Wir wünschen Ihnen eine gute Reise!


Anhang (ATTACHMENT): Rechnung.pdf.exe


H BEDV empfiehlt, Emails mit entsprechender Betreffzeile, die den Trojaner transportieren, nicht zu öffnen, sondern sofort zu löschen.