TComBill.7 25.01.2010

Verbreitung:--->*****
Schaden:------>*****

Der Trojaner TComBill.7 verbreitet sich aktuell per E-Mail.
Dieser tarnt sich als angebliche Rechnung von der Telekom und versucht
den Anwender durch einen hohen Rechnungsbetrag zum Öffnen des
Anhangs zu verleiten.

Die E-Mail hat folgendes Aussehen

Betreff: „Telekom Rechnung über 382,90 Euro“

Dateianhang: Rechnung.pdf.exe

E-Mail-Text: „Mit dieser E-Mail erhalten Sie eine Rechnung über 382,90 Euro. <Unterschiedlicher Text>. Mit freundlichen Grüßen Ihre T-Com“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Wird der Anhang ausgeführt, kopiert sich der Trojaner unter folgenden Dateinamen in das Windows Systemverzeichnis:

%SystemDIR%ipwf.exe

und erstellt folgende Datei:

%SystemDIR%driverswinut.dat

Die Datei WINUT.DAT enthält eine Reihe von URLs, von denen der Trojaner die Datei SYS.EXE nachlädt und ausführt.

Folgende Einträge in der Windows Registry werden angelegt:

HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServices
SharedAccessParametersFirewallPolicyStandardProfil eAuthorizedApplicationsList]
"SystemDIRipwf.exe"=SystemDIRipwf.exe:*:Enable d:i pwf

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRun]
"IPFW"=SystemDIRipwf.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!