Gefälschte Telekom-Mails enthalten Trojaner [Update]

Seit dem heutigen Mittwochmorgen sind wieder gefälschte Telekom-Mails unterwegs, die vorgeben, die aktuelle Telefonrechung zu enthalten. Im Anhang der Mail findet der Empfänger diesmal keinen Link, sondern beispielsweise die Datei Rechnung18745514.chm. CHMs sind Hilfe-Dateien in einem komprimiertem HTML-Format und werden vom Internet Explorer ausgeführt. Einmal lokal gestartet, haben sie volle Zugriffsrechte, wenn der Anwender als Administrator angemeldet ist.

Ein Klick auf die vermeintliche Rechnung installiert nach ersten Erkenntnissen einen Trojaner, der weitere Dateien nachlädt. Derzeit stufen ihn nur Bitdefender (AV-Killer) und NOD32 (NewHeur_PE) als möglichen Schädling ein. Anwender, die solch eine Mail erhalten haben, sollten auf gar keinen Fall den Anhang öffnen oder speichern. Wann die Hersteller von Antivirensoftware neue Signaturen veröffentlichen, ist noch nicht klar. Auch ist noch nicht abzusehen, wie stark sich der Trojaner verbreitet. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sich auf den Antiviren-Seiten von heise Security.

Update
F-Secure will demnächst neue Signaturen zu Verfügung stellen, die den Schädling als Backdoor.Damrai.A erkennt. Damarai ist eine Backdoor mit Proxy-Fähigkeiten, die einen FTP-Server startet und eine Shell an einen Netzwerkport bindet. Die CHM-Datei enthält eine Binärdatei und ein HTML-Dokument, das wohl eine ältere Schwachstelle (CodeExecBase) im Internet Explorer ausnutzt. Windows-PCs, auf denen alle verfügbaren Updates für Microsofts Browser installiert sind, sind nicht verwundbar. (dab)