Computers 'n Stuff: New attack using faked Telekom-Rechnung (telco-bill) to distribute trojan dropper as e-mail attachment rechnung.pdf.exe

I here share the resolutions for my Linux problems so they might safe somebody some time.

Tuesday, December 06, 2005 parmanent link to this post

New attack using faked Telekom-Rechnung (telco-bill) to distribute trojan dropper as e-mail attachment rechnung.pdf.exe

The E-mail attack contaied the TR/Dldr.Agent.zm trojan dropper.
The Trojan dropper was sent as an attachment to the following E-Mail:

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 710.89 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.


The header of the E-Mail had the following content

From - Sun Dec 04 19:34:07 2005
X-Account-Key: account3
X-UIDL: e3e839a5f59cd48a0eca02f3d4522229
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-Path:
X-Flags: 0000
Delivered-To: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Received: (qmail invoked by alias); 04 Dec 2005 17:28:28 -0000
Received: from p2173-ipbf303sapodori.hokkaido.ocn.ne.jp (HELO p2173-ipbf303sapodori.hokkaido.ocn.ne.jp) [58.91.49.173]
by mx0.gmx.net (mx034) with SMTP; 04 Dec 2005 18:28:28 +0100
Received: from t-com.net (tcmail23.telekom.de [217.6.95.237])
by p2173-ipbf303sapodori.hokkaido.ocn.ne.jp (Postfix) with ESMTP id 189E40F124
for xxxxxxxxxxxxxxxxxxxxxxxx; Sun, 04 Dec 2005 12:42:38 -0500
From: Telekom
To: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Subject: Telekom Rechnung Online Monat Oktober 2005
Date: Sun, 04 Dec 2005 12:42:38 -0500
Message-ID: <011101c5f8fa$2412c41b$1ba88a30@t-com.net>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0014_4075B805.18F48070"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4510
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1123

The filename of the attachment was Rechnung.pdf.exe. The attackers use an extremly high telekom bill to prompt the anxious user to double click the attachment wich seeks to conceal by the file ending. *.pdf.exe that it is an executable file since Windows don't show file endings to the user as a default. this means the visible name of the file to some users will be Rechnung.pdf. Executing the file will install a malicious code wich is identified by AV-Antivier (VDF version = 6.32.18.79, 03)as the trojan dropper TR/Dldr.Agent.zm. In The Windows properties menu the file was assigned the name "Zulu"

0 Comments:

Post a Comment

<< Home