TComBill.6 19.10.2009
Verbreitung:--->*****
Schaden:------>*****
Der Trojaner TComBill.6 verbreitet sich per E-Mail.
Dieser tarnt sich als angebliche Rechnung von der Telekom und
versucht den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des Anhangs zu verleiten.
Die E-Mail hat folgendes Aussehen
Betreff: Telekom Rechnung Online Monat Oktober 2009
Dateianhang: Rechnung.pdf.exe
E-Mail-Text: "Guten Tag, die Gesamtsumme für Ihre Rechnung im Monat Oktober 2009 beträgt: 745.81 Euro.
Mit dieser E-Mail erhalten Sie
Ihre aktuelle Rechnung und – soweit von Ihnen beauftragt – die Einzelverbindungsübersicht.
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Grüßen Ihre T-Com".
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:
%SystemDIR%ipwf.exe
und erstellt folgende Datei:
%SystemDIR%driverswinut.dat
Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.
Folgende Einträge in der Windows Registry werden angelegt:
HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!
Zitieren