Alias:Trojan-Downloader.Win32.Vidlo.h, Backdoor.Win32.Bancodor.x
Type:Trojan 
Size:3.584 bytes, 43.776 bytes 
Origin: 
Date:01-26-2005 
Damage:Low 
VDF Version:6.29.00.80 
Danger:Medium 
Distribution:Medium 

General DescriptionAffected platforms:
* Windows 95
* Windows 98
* Windows ME
* Windows NT
* Windows 2000
* Windows XP
* Windows Server 2003

DistributionSpreading routine: downloads trojan/backdoor components.

Technical DetailsThe trojan downloader TR/Dldr.Vidlo.h disguises itself as Telekom account and it is sent at different spam lists. The user gets the following email, in which is noticeable that the sender address is faked:

-Sender (FROM): Rechnung-Online@t-com.net

-SUBJECT: Rechnung Online Monat Februar 2005

-Emailtext (BODY):

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Februar 2005 beträgt: 178,10 Euro.

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht. Nutzen Sie auch unter www.t-com.de/rechnung die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortier- und Auswertungsfunktionen.

===================

RECHNUNG ONLINE - TIPP DES MONATS

Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter: www.t-com.de/aktuell

Auskunft per SMS

Einfach Anfrage per SMS an die 11833* - Die Antwort kommt sekundenschnell zurück.

11833* - Wir sind die Auskunft.

*pro SMS-Abfrage 69 Cent aus den dt. Mobilfunknetzen, 49 Cent aus dem Festnetz von T-Com.

Pro Anfrage per Telefonanruf einmalig 20 Cent zzgl. 99 Cent/Min.

==================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------ ----

Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.

Zum öffnen der PDF-Dateien verwenden Sie bitte den Adobe Acrobat Reader ab Version 5.0. Ist dieser auf Ihrem PC noch nicht installiert, können Sie die

aktuelle Version unter www.t-com.de/pdf kostenlos herunterladen.

-ATTACHMENT: Rechnung.pdf.exe

If the attachment is executed, the trojan downloader downloads from the internet the actual trojan component (xxde[1].exe) and executes it. The trojan creates the following files:

- %Temporäre InternetFiles%\xxde[1].exe (Dateigröße: 43.776 Bytes)
- \%WinDIR%\opunsrv.exe (Dateigröße: 39.936 Bytes)
- \%WinDIR%\iempview.dll (Dateigröße: 4.096 Bytes)

In order to assure a new call of the trojan component at the next system start, it adds in the Windows registry the following entries:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"OpunSrv32"="C:\\WINDOWS\\opunsrv.exe"
Description insérée par Crony Walker le mardi 15 juin 2004

Retour . . . .