# heise.de: "Dialer-Anbieter verteilt Trojaner"



## drboe (5 August 2005)

Ein alter Bekannter und sein Plugin. Meldung dazu bei Heise

M. Boettcher


----------



## News (5 August 2005)

Und sollte Heiko mal vergessen, die Verlängerungsgebühr für dialerhilfe.de zu bezahlen, wär er die Domain in 4 Minuten los...die steht nämlich mit auf der automatischen whois-Abfrageliste von M.D.s "Plugin".


----------



## drboe (5 August 2005)

News schrieb:
			
		

> Und sollte Heiko mal vergessen, die Verlängerungsgebühr für dialerhilfe.de zu bezahlen, wär er die Domain in 4 Minuten los...die steht nämlich mit auf der automatischen whois-Abfrageliste von M.D.s "Plugin".


Ja, aber das wird sich hoffentlich beenden lassen. So ist diese Aktivität eines Trojaners ja vermutlich nicht durch Gesetz gedeckt. Man könnte auch auf die Idee kommen den Anbieter für den dadurch verursachten Traffic in Anspruch zu nehmen. Macht man das konzertiert, d. h. jeder Geschädigte, und z. B. über haufenweise Prozesse, geht D. pleite. Und sollte man auch S. das Handwerk legen. Vielleicht klappt das je mit dem Prozess zum Jahresausklang.

M. Boettcher


----------



## Captain Picard (5 August 2005)

das ist genau die Masche:  erst mit k.exe verseuchen  und anschließend mit hohlen Handypayabos
die  Domains zukleistern. Die Methode erinnert an ein Krebsgeschwür, ständig werden Metastasen gebildet 
die gesundes Gewebe zerfressen

http://forum.computerbetrug.de/viewtopic.php?t=11143

cp

PS: 





			
				News schrieb:
			
		

> Und sollte Heiko mal vergessen, die Verlängerungsgebühr für dialerhilfe.de zu bezahlen, wär er die Domain in 4 Minuten los.


es reicht schon Schlamperei des Registrars


----------



## drboe (5 August 2005)

Unter http://nepenthes.sourceforge.net/analysis:w32agent.dsi findet man eine informative Analyse der k.exe. 

M. Boettcher


----------



## Captain Picard (5 August 2005)

drboe schrieb:
			
		

> Unter http://nepenthes.sourceforge.net/analysis:w32agent.dsi findet man eine informative Analyse der k.exe.





> 2.
> 2. If the domains gets free, the virus reports this
> 1. It could be possible that someone then wants to register this domain
> 
> We have some clues that the network of compromised machines is quite big.


"possible" ist gut , das ist ja erst der erste Teil der Story, es geht ja darum möglichst viele bekannte
und vor allem wiederum zig-fach verlinkte Domains zu grabben um dann den Handypayaboschmutz
zu installieren und unerfahrene und überraschte User zu überfahren. 

cp


----------



## drboe (5 August 2005)

Captain Picard schrieb:
			
		

> das ist genau die Masche:  erst mit k.exe verseuchen  und anschließend mit hohlen Handypayabos
> die  Domains zukleistern. Die Methode erinnert an ein Krebsgeschwür, ständig werden Metastasen gebildet die gesundes Gewebe zerfressen


Wir werden Zeuge, wie Gangster große Teile des Netzes in Besitz nehmen. Nachdem sich mit Dialern nicht mehr das große Geld machen läßt, werden ständig neue Betrugsmaschen entwickelt. Bot-Netze sind dabei eine massive Bedrohung der Infrastruktur. Insofern stimmen die Kassandrarufe, nämlich dass die Kriminalität im Internet zunimmet. Nur sind es nicht die Pädophilen und Rechtsradikalen, sondern angebliche Geschäftsleute. 

Den Zugriff auf die Telekommunikationsguthaben beim sogn. Handypay  könnte man m. E. durch Regelungen beenden, dass Kundenkonten nicht zur Begleichung der Forderungen Dritter genutzt werden dürfen, es sei denn, ein Richter ordnet die Übertragung des Guthabens an. Natürlich muss man der Politik dazu wieder einmal kräftig in A... Aber das ist ja kein neuer Zustand.

M. Boettcher


----------



## Antidialer (5 August 2005)

News schrieb:
			
		

> Und sollte Heiko mal vergessen, die Verlängerungsgebühr für dialerhilfe.de zu bezahlen, wär er die Domain in 4 Minuten los...die steht nämlich mit auf der automatischen whois-Abfrageliste von M.D.s "Plugin".



Gibt es irgendwo eine Möglichkeit, wo man die gefährdeten Domains abfragen oder einsehen kann?


----------



## News (5 August 2005)

Antidialer schrieb:
			
		

> Gibt es irgendwo eine Möglichkeit, wo man die gefährdeten Domains abfragen oder einsehen kann?


Ja, bei sourceforge.net. Ich will deren Textdatei hier mal lieber nicht direkt verlinken, aber du findest sie, wenn du
hier
klickst und dann zu folgender Stelle (und dem dortigen Link) scrollst:


> URLs found in the wild
> The following analysis:w32agent.dsi:questioned_domains gives an impression of how many different URLs we have found during our analysis (>12000).


----------



## Counselor (5 August 2005)

drboe schrieb:
			
		

> Bot-Netze sind dabei eine massive Bedrohung der Infrastruktur. Insofern stimmen die Kassandrarufe, nämlich dass die Kriminalität im Internet zunimmet.


Es sind nicht nur Kassandrarufe, sondern das trojanische Pferd war schon da.


> Nach Einschätzung einer Reihe von IT-Sicherheits-Spezialisten steigt die Zahl der Computer, die einem beliebigen Botnetz angehören, gegenwärtig jeden Monat um etwa 300.000-350.000, und die Gesamtzahl der "Zombie-Maschinen" beträgt bereits mehrere Millionen.
> 
> Sie alle werden von den Cyberverbrechern mit dem Ziel der finanziellen Bereicherung eingesetzt - über sie wird Spam versandt, DoS-Attacken zu Erpressungszwecken gefahren, und es werden über sie neue Schadprogramm-Versionen versandt.


http://www.computerpartner.de/index.cfm?pid=179&pk=225776&p=4


----------



## Captain Picard (5 August 2005)

*Re: Dialer-Anbieter verteilt Trojaner*



			
				drboe schrieb:
			
		

> Ein alter Bekannter und sein Plugin. Meldung dazu bei Heise


Man geht in die  Offensive 
ob das man nicht ne Nummer zu groß wird...

cp


----------



## News (5 August 2005)

*Re: Dialer-Anbieter verteilt Trojaner*



			
				Captain Picard schrieb:
			
		

> Man geht in die  Offensive


Wenn man weiß, dass der Anwalt von gulli auch der von M.D. ist, wundert man sich nicht über diesen "Bericht".


----------



## Teleton (5 August 2005)

Seltsamer Bericht,
bei jedem Gericht insbesondere in grösseren Städten gibts auch Sa/So einen richterlichen Notdienst für einstweiligen Rechtschutz. Wenn man Pech hat muss man zwar nem langjährgen Strafrichter von seinem zivilrechtlichen eiligen "es brennt,es brennt" Anspruch überzeugen, aber Rechtschutz gibts auch am Wochenende.


----------



## dotshead (5 August 2005)

@teleton

Vielleicht hat der Heise-Justiziar bei einigen größeren Gerichten Schutzschriften hinterlegt.  IMHO ist J.H. kein Schlechter.


----------



## Teleton (5 August 2005)

Wird er wohl, 
mir gings nur um das von Herrn D.verbreitete Märchen : Ab Freitags um 16.00 gibts in Deutschland bis Montag keinen einstweiligen Rechtschutz mehr.


----------



## dvill (5 August 2005)

Zitat:   "Man sollte da auch nicht unbedingt mit Moral argumentieren  ..."

Dietmar Vill


----------



## dotshead (5 August 2005)

@teleton

dvill hat im Heise-Forum nen klasse   Link gepostet.


----------



## Antidialer (5 August 2005)

Wann beginnt eigentlich der Prozess gegen den lieben Anwalt wegen FTP World? Danach dürfte er ja eh Ex Anwalt sein.


----------



## Falk (5 August 2005)

*Re: Dialer-Anbieter verteilt Trojaner*



			
				Captain Picard schrieb:
			
		

> Man geht in die  Offensive
> ob das man nicht ne Nummer zu groß wird...
> 
> cp





> Per Definition sei ein Trojaner ein Programm, welches ohne Zustimmung des Users bestimmte Funktionen ausführt, so D....
> Bei k.exe treffe diese Definition indessen nicht zu.
> Installiert man die Software, so präsentiert sich in der Tat eine AGB, die es in sich hat: der Kunde stimmt unter anderem zu, dass Popups und Werbung ... eingeblendet werden,
> ...
> ...


Mannomann, in den 119 Zeilen des "Lizenzvertrages" steht, daß dieses Programm alles tun und lassen darf. Und da läuft einer frei rum, der glaubt, daß er damit deutsches Recht ausser Kraft setzen kann.

Warum nicht gleich das Formatieren der Festplatte oder "Sicherheitskopien" der PIN- und TAN-Listen genehmigen lassen?



> "Was soll man denn noch mehr machen?", so D.....



Also *ich* hätte da ein paar Ideen, man könnte schreiben:
- Daß das Programm den Domaindiebstahl unterstützt,
- daß das Programm dem User die alleinige Hoheit über seinen PC entzieht,
- daß das Programm dem user keinen Nutzen bringt,

und, an anderer Stelle, aus gegebenem Anlaß:
- daß das Abo 300Euro/Monat kostet,
- daß die Inhalte anderswo kostenlos verfügbar sind,
etc.

Es scheint aber Geschäfte zu geben, die Angst davor haben, daß ihre "Kunden" vor dem Kauf erfahren, was die Ware kostet, und was diese "Ware" überhaupt ist 

Falk

P.S.: Erinnert sich noch jemand an "webhomer" und "plugin.exe"? Das wurde in einem anderen Forum mal diskutiert. Die "Nutzungsbedingungen" sind fast identisch, sogar die Zeile "Universal Boards GmbH & Co. KG - Stand:  10.03.2004". Die Liste der fest einkompilierten IP-Adressen ist aber etwas kürzer.


----------



## Wembley (5 August 2005)

Irgendwie war es keine gute Woche für den Herrn MD. Seinem Horoskop darf er aber nicht die Schuld geben.

Gruß
Wembley


----------



## Counselor (6 August 2005)

*Re: Dialer-Anbieter verteilt Trojaner*



			
				Falk schrieb:
			
		

> Installiert man die Software, so präsentiert sich in der Tat eine AGB, die es in sich hat: der Kunde stimmt unter anderem zu, dass Popups und Werbung ... eingeblendet werden,
> ...
> "Diese Aufzählung ist ausdrücklich nicht vollständig und kann jederzeit den technischen Anforderungen entsprechend geändert werden."
> ...
> ...


Diese AGB sind mE überraschend und damit nicht Vertragsbestandteil. MD maßt sich mit diesen 'AGB' ein umfassendes Nutzungsrecht des PCs an. Damit muß niemand rechnen, der nur ein Stück Software installiert.


----------



## dvill (6 August 2005)

Ich weiß nicht, ob es historisch überliefert ist, ob die Griechen AGBs an das trojanische Pferd geheftet hatte, welches die Trojaner erst anerkennen mussten, bevor sie das hölzerne Pferd in ihre Stadt schleppen durften.

Jedenfalls waren sie in einem deutlichen Irrtum über Sinn und Zweck des Geschenkes. Natürlich hatten sie zugelassen, dass die Schenkenden "alles" mit ihrem Geschenk machen konnten, was vorher nicht so deutlich beschrieben und angekündigt war.

Namensgebend sind die Eigenschaft des Toröffners und das Vorhandensein einer verborgenen Funktion, die dem Beschenkten unbekannt ist und ihm jedenfalls nicht nützt.

Das Angebot, das Plugin zu installieren, wurde auch an Kinder und Jugendliche gerichtet. Diese konnten die Gefahr vermutlich noch weniger erkennen.

Dietmar Vill


----------



## drboe (6 August 2005)

Counselor schrieb:
			
		

> drboe schrieb:
> 
> 
> 
> ...


Du hast meine Bemerkung vermutlich missverstanden: das Lamento von Politikern und Sicherheitsbehörden über die steigende Kriminalität im Netz wird vor allem an den Punkten Kindesmissbrauch, rechtsradikale Propaganda und Urheberrechtsverletzungen festgemacht. Nun zeigt sich aber, dass die wirkliche kriminelle Bedrohung von Leuten kommt, die ganz andere Dinge im Kopf haben. Dinge, mit denen sich vuiel Geld verdinenen läßt. Und dazu zählen natürlich die von Dir genannten Aktivitäten. Wer viele PC im Netz nach seiner Pfeife tanzen lassen und für spam oder DDoS etc .einsetzen kann, kann diese Dienste natürlich verkaufen. Er kann PINs ausspähen und Identitäten klauen usw. usf. Ein Markt mit Zuwachsraten.

M. Boettcher


----------



## drboe (6 August 2005)

*Re: Dialer-Anbieter verteilt Trojaner*



			
				Captain Picard schrieb:
			
		

> Man geht in die  Offensive
> ob das man nicht ne Nummer zu groß wird...


Wenn M. D.  glaubt, seine AGB würden die Qualifikation des von ihm verbreiteten Programms als Trojaner verhindern, so irrt er. Seine "Generalvollmacht", mit der er sich der CPU der Nutzer bemächtigen kann, ist doch vermutlich keinen Pfifferling wert. Immerhin handelt es sich um ein Programm, dass laut "AGB" ungenannte Funktionen hat und diese ständig verändern kann. So installiert das Teil einen Service, was unter http://nepenthes.sourceforge.net/analysis:w32agent.dsi wie folgt beschrieben wird:



> Once thing still remains: the malware sets up a ‘service’ on port 6666, identifing itself as
> 
> ```
> $ nc -vv localhost 6666
> ...



Da wartet also auf den PC, die das ominöse Plugin installiert haben, ein Server auf Befehle von draussen. Das ist ein typisches Element von Bot-Netzen. 

M. Boettcher


----------



## dvill (6 August 2005)

> The requested URL /k.exe was not found on this server.


Dietmar Vill


----------



## Aka-Aka (6 August 2005)

Browser-Hijack wurde ja schon legalisiert
http://forum.computerbetrug.de/viewtopic.php?t=6574&highlight=plugin

Planetopia soll das ja für ok befunden haben 
Die sind aber auch, naja, ich schweige, würde ohnehin hier gelöscht werden...


----------



## dvill (6 August 2005)

> Eine weitere Verarbeitung der IP-Adresse oder Daten des Kunden erfolgt nicht, insbesondere keine Weitergabe an Dritte.


Mit der für den Programmnutzer überraschenden Verbindungsaufnahme zum Denic-Server für die Whois-Abfragen wird die Programmnutzer-IP in die Denic-Logfiles geschrieben und damit übertragen.

Dietmar Vill


----------



## drboe (6 August 2005)

Aka-Aka schrieb:
			
		

> Browser-Hijack wurde ja schon legalisiert
> http://forum.computerbetrug.de/viewtopic.php?t=6574&highlight=plugin
> 
> Planetopia soll das ja für ok befunden haben


OK, unsere Gerichte sind vielleicht parteilich oder sogar korrupt. Und die Medien machen Politik, wie man derzeit wieder besonders massiv erlebt. Aber ich glaube nicht, dass die Vorgabe einer Legalitätsbetrachtung aus einer Fernsehanstalt kommt 

M. Boettcher


----------



## Aka-Aka (6 August 2005)

> Peter H*: „Es gibt auch eine Ausnahme, ich habe etwas gefunden, was hier in Deutschland agiert. Das kann ich jetzt mal vorstellen. Das ist eine Gratis-Sex-Seite. Da ist es so, dass ich hier folgendes habe: Das ist kein Fake, das ist kein Gag, das ist kein Scherz. Sie können umsonst Sex schauen. Sie müssen nur folgendes machen: Man muss sich hier eine Datei auf den Rechner laden. Das ist die plugin-exe.“
> 
> Plugin – auf deutsch: einstöpseln. Wir tun´s und bekommen gratis Sex. Und nicht nur das: mit dem Download der besagten Plugin.exe-Datei in den Systemordner stimmen wir etlichen Änderungen am System zu.
> 
> ...


zitiert nach hier


----------



## tuxedo (6 August 2005)

Aktuell erscheint bei der im Heise-Artikel angegebenen und von MD übernommenen Domain wegen zu häufiger Verbindungsfehler zur Datenbank folgende Fehlermeldung:



> SQL-DATABASE ERROR
> 
> Database error in WoltLab Burning Board (): Link-ID == false, connect failed
> mysql error: Host '172.16.172.143' is blocked because of many connection errors. Unblock with 'mysqladmin flush-hosts'
> ...


Sieht für mich so aus: Da ist was schlampig programmiert worden. Viele User haben den Analyse-Artikel übder die k.exe gelesen und die Url ausprobiert. Dadurch kam es zu zu vielen Fehlern. Folge: Datenbank verweigert die weitere Zusammenarbeit . :holy:

Gruß
Matthias


----------



## drboe (6 August 2005)

dvill schrieb:
			
		

> > The requested URL /k.exe was not found on this server.


Gibt es aber noch unter ***.[...].**/plugin/k.exe.

M. Boettcher

_[Keine gefährdenden Links. (bh)]_


----------



## dvill (6 August 2005)

Dann erkläre ich es noch: Ich wollte die Datei *NICHT* laden, sondern darauf hinweisen, dass die Welt gerade ein Stück sicherer geworden ist.

Denic und das BSI wollten oder konnten sich nicht darum kümmern, Heise hat es getan.

Dietmar Vill


----------



## drboe (6 August 2005)

_[Keine gefährdenden Links. (bh)]_

Da stand kein Link.

M. Boettcher


----------



## drboe (6 August 2005)

dvill schrieb:
			
		

> Dann erkläre ich es noch: Ich wollte die Datei *NICHT* laden, sondern darauf hinweisen, dass die Welt gerade ein Stück sicherer geworden ist.
> 
> Denic und das BSI wollten oder konnten sich nicht darum kümmern, Heise hat es getan.


DENIC ist m. E. gar nicht dazu in der Lage etwas zu ändern, solange whois funktionieren soll/muss. Das BSI hat keine "polizeilichen" Befugnisse. Man soll das Amt nicht überfordern; Aufklärung, Beratung etc. machen sie m. E. sehr gut. Das die Welt "sicherer" geworden ist, die Ansicht kann ich nicht ganz teilen. Man weiss ja z. B. gar nicht, wie viele Installationen es von dem Plugin schon gibt, das offenbar unter verschiedenen Bezeichnungen kursiert, und wozu es eingesetzt werden kann. Damit kennt man weder das Bedrohungspotential noch die Art der möglichen Bedrohung. Hier ist man derzeit auf Spekulationen angewiesen. Was nicht heißt, dass ich das Teil für ungefährlich halte; im Gegenteil. An einer Stelle die Weiterverbreitung einzudämmen, ändert, auch angesichts der denkbaren Möglichkeiten der installierten Basis, m. E. leider so gut wie nichts. Da muss erheblich mehr passieren.

M. Boettcher


----------



## tuxedo (7 August 2005)

Gerade im Forum von Heise gelesen, dass h**p://www.1m*.de/mp1.html zwar ein handypay-fenster ist, dort aber die beiden vorwahlen 0177 und 0178 (ePlus) nicht aufgelistet sind.

ePlus macht hier also nicht mit. Sehr gut! 

Gruß
Matthias


----------



## dvill (8 August 2005)

Der Bericht auf intern.de geht auch auf den "Holocaust-Dialer" ein. Sehr lesenswert, wenn auch in der Sache hochgradig unerfreulich.

Dietmar Vill


----------



## Captain Picard (8 August 2005)

intern.de schrieb:
			
		

> Doch man darf auf die rechtliche Prüfung des Vorgangs
> auch durch einen Staatsanwalt gespannt sein.


cp


----------



## dvill (10 August 2005)

Die Suche nach gebrauchten Domains mit viel Traffic funktioniert bestens.

Dietmar Vill


----------

