A TR/Spy.BILL-T-Com behatolóprogram a német Telekom ügyfeleit ijesztgeti, amikor a szolgáltató állítólagos számlája képében megérkezik. Az óvatlanul kattingató felhasználók gépe távolról manipulálhatóvá válik.
A vírusirtó alkalmazásokat fejlesztő német H+BEDV szoftvercég veszélyes trójai program felbukkanására figyelmeztet. A "TR/Spy.BILL-T-Com" néven katalogizált kártevő kísérő levelében a német Telekom számlájának adja ki magát.
A trójai német nyelvterületen futótűzként terjed, közölte a fejlesztőcég. A veszélyeztetett operációs rendszerek közé tartozik a Windows több öregecske illetve kurrens változata, így az 9x, ME, NT, 2000 és XP illetve a Windows Server 2003, emlékeztetett a ZDNet.
Szívhez szóló tanácsok
Az email szövege a következő: Tisztelt ügyfelünk, ezzel az emaillel juttatjuk el Önhöz az aktuális Telekom számláját, illetve korábbi megbízása esetén a hívásrészletezőt.
Kérjük aknázza ki ezen kívül a www.telekom.de/rechnung weboldal online számlarendszerének (Rechnung Online) sokrétű előnyeit, például a rendezési és kiértékelési funkciót. Ugyanitt az oldal bal felső sarkában a "Hilfe/FAQ" menüpont alatt hasznos tanácsokat kaphat a Rechnung Online használatához.
Üdvözlettel, a Deutsche Telekom
Csatolva küldjük a "Rechnung18745514.chm" fájlt.
Súgófájl a belépő
A beugrató emailhez CHM formátumú fájl kapcsolódik. A Windows súgófájlként viselkedő csatolmány weboldalként nyílik meg, majd lefuttatja jövetele valódi célját, a trójai programot.
Az óvatlan felhasználó gépére, a Windows rendszerkönyvtárába ekkor kerül fel a CSRSS.EXE fájl, amely automatikusan megnyitja a 2050, 2121 és 2355 számú portokat. A trójai ezeken keresztül várakozik irányítói parancsára.
A TR/Spy.BILL-T-Com-ot hordozó levél hamis feladót használ, a tárgysor pedig sokszor csak "=?koi8-r?B?VGVsZ" kezdetű csonkabonka kód. Mint ismertes, ez a HTML-kód formátum legtöbbször cirill betűs szövegek továbbítására szolgál.
Kövesse az Indexet Facebookon is!
Követem!
