Telekom-Rechnung entpuppt sich als Trojaner

Sicherheitsunternehmen warnen vor einem neuen Trojaner. Gefährdet sind alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003. Der Trojaner ‘TR/Spy.BILL-T-Com’ tarnt sich als Telekom-Rechnung und verbreitet sich mit hoher Geschwindigkeit.
Nach Angaben des Sicherheitsunternehmens H+BEDV wird der Trojaner über E-Mail-Adresslisten, sogenannten Spamlisten, versendet. Als Absender der E-Mails wird die Adresse ‘Rechnung-Online@telekom.de’ angegeben. Im Text heißt es: “Sehr geehrte Kundin, sehr geehrter Kunde, mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und – soweit von Ihnen beauftragt – die Einzelverbindungsübersicht.”

Die E-Mail führt als Anhang eine .chm-Datei mit. Beim Öffnen  dieser Windowshilfe-Datei wird eine HTML-Seite dargestellt, die den eigentlichen Trojaner ausführt. Die Malware kopiert dann die Datei csrss.exe in das Windows-Systemverzeichnis. Die TCP Ports 2050, 2121 und 2355 werden automatisch geöffnet und der Trojaner wartet auf eingehende Kommandos.

H+BEDV empfiehlt, E-Mails mit der entsprechender Betreffzeile zu löschen. Das Unternehmen hat seine Anti-Viren-Software aktualisiert.