# 090090000957, 0037270220302, evt. 090090000958



## TSCoreNinja (23 Juli 2004)

Liebe Dialergeschaedigte,

Quizfrage: was hat die Premiumrufnummer 0900-9000957 mit der Rufnummer 0037270220302 gemeinsam?

Antwort: den Dialer, siehe Attachment. 
Hashwert: e59c4d113f9dba18abd9e28c6d4340ac0e3b2f43
nicht registriert. 

Das ganze kam durch einen Exploit zustande. Dabei wurden ein paar Icons auf dem Desktop angelegt, die ich hier angeklickt habe. Leider konnte (nach kurzer vorlaeufiger Analyse des Codes mit einem Debugger) die nette, dazugeladene svchost.exe, nicht die aktuelle Einwahlverbindung veraendern, schliesslich sitze ich nicht hinter einem Modem. Sonst wuerde ich vermutlich dort die Rufnummer 090090000958 finden, wenn man Alex glaubt, von Ihm habe ich die Einwahl URL. Das Ganze funktioniert ueber einen Microsoft Helpfile Exploit... 

Ach ja, noch ein paar Rufnummern aus dem Dialer

```
0906998998
ConnInt5
090336250
9096423870
00569003682
002463471710
00423663098486
899023705
09060400034
011423663098499
00423663098499
0088213331101
907600187
0930824835
002463471800
```

Screenshot des Ethereal-Logs des Downloadvorgangs (meine und Download IP unkenntlich) ebenfalls angehaengt. 

AVI des Einwahlvorgangs gibts wie immer unter
http://de.geocities.com/tscoreninja/

*Edit: Ach ja, nicht vergessen, Yahoo macht irgendwann mal wg Bandbreite dicht, dann etwas spaeter versuchen, meist geht es eine Stunde spaeter*

Gr,
TSCoreNinja

PS: genauere Analyse demnaechst, kann allerdings etwas dauern.


----------



## Aka-Aka (23 Juli 2004)

"Faszinierend", sprach Spock


----------



## TSCoreNinja (23 Juli 2004)

TSCoreNinja schrieb:
			
		

> Leider konnte (nach kurzer vorlaeufiger Analyse des Codes mit einem Debugger) die nette, dazugeladene svchost.exe, nicht die aktuelle Einwahlverbindung veraendern, schliesslich sitze ich nicht hinter einem Modem. Sonst wuerde ich vermutlich dort die Rufnummer 090090000958 finden, wenn man Alex glaubt, von Ihm habe ich die Einwahl URL.



Ach ja, aus der SVCHOST.exe:

```
INFORMATION: This prog totally fucks up your modem connection, be sure to make a new connection after running this program, otherwise it may be xpensive....
```


----------



## Anonymous (23 Juli 2004)

*Nummern*

Die vorletzte Nummer aus der Liste

0930824835 

sieht wie eine österreichische Mehrwertnummer aus. Eine so lautende österreichische Nummer ist laut Register bei www.rtr.at auch tatsächlich vergeben.

Es kann sich aber natürlich auch um einen reinen Zufall bzw. eine zufällige Nummerngleichheit handeln.


----------



## dotshead (23 Juli 2004)

> Das Ganze funktioniert ueber einen Microsoft Helpfile Exploit...



Wie jetzt  Microsoft Helpfile Exploit?  :holy: 
Ich dachte die MS-Sicherheitsoffensive hätte endlich gegriffen?


----------



## Anonymous (23 Juli 2004)

*Re: Nummern*



			
				Anonymous schrieb:
			
		

> Die vorletzte Nummer aus der Liste
> 
> 0930824835
> 
> ...



nöö, das passt... die schweizer Nr ist DDDCOM


----------



## Anonymous (24 Juli 2004)

dotshead schrieb:
			
		

> Wie jetzt  Microsoft Helpfile Exploit?  :holy:
> Ich dachte die MS-Sicherheitsoffensive hätte endlich gegriffen?


Nun ja, es dauert scheinbar, die Dialerschleudern, auf die aktuellsten Exploits umzustellen, ebenso wie es dauert, bis die User ihren IE aktuellisiert haben (hab neulich meinen IE mit 46MB Patches versorgt, dass machst Du nicht mehr uebers Modem....)
Gr,
TSCN

PS: Wen es interessiert, suche mal nach "chm" und "exe" "ms-its", da findet man zig Hijackthislogs mit entsprechenden Exploits


----------



## Aka-Aka (24 Juli 2004)

*Re: Nummern*

Quem é um homem bom e quem é um homem mau?

Mau-Mau International?


----------



## TSCoreNinja (26 Juli 2004)

*Beschreibung Exploit*

Am WE habe ich etwas Zeit abgeknapst, um die Vorgaenge zu dokumentieren, ist eben Richtung RegTP herausgegangen. Wen es interessiert, hier ist die um die URLs gebrachte Version (wg NUBs unkenntlich gemacht). Wer betroffen ist, kann gerne das komplette Dokument haben fuer seinen Widerspruch, dann bitte PN.
Ansonsten hat sich meine Vermutung bestaetigt, dass die svchost.exe die Rufnummer 090090000958 bedient. Und mal wieder die Warnung: wenn schon IE, dann auf dem neusten Stand, dann waere dies nicht passiert (meines Wissens...)

Gr,
TSCoreNinja

PS: mein Netzzugang innerhalb der naechsten Woche ist ungewiss, da auf Reisen...


----------



## TSCoreNinja (26 Juli 2004)

Ach ja, wen es interessiert:

Rufnummern Oesterreich:
0930838880
0930828688
0930824831
0930824832
0930824833
0930824835
0930824836
registriert durch Mobilkom Liechtenstein, http://www.mobilkom.li/

Rufnummern Schweiz:
006909141
0067749241
0068261341
0068266153
0068829341
00239202302
00239202914
00239202964
00239203114
00239203164
00239203214
00239203264

Rufnummern Great Britan:
0056113580
0056113581
0056113582
0056113583

Rufnummern Niederlande:
0068261300
0068263000
09062001609

Rufnummern Frankreich:
006832540
006909351
0067749451
0068261551
0068829551
00239201414
002463472401
(plus ein paar mehr mit gleihcer Vorwahl)

Rufnummern US:
18009330308
101073501146856313113
Gr,
TSCN


----------



## Anonymous (26 Juli 2004)

*Strananzeige zu 0900-90000957/58*

Hallo Forum !!!  

Als Polizeibeamter habe ich gestern eine Anzeige (guter Bekannter) zum o.g. Dialer aufgenommen. Dank diesem Forum bin ich schon etwas schlauer geworden und habe mir den Rechner genauestens angesehen. 
Da ich schon mit den ersten PC aufgewachsen bin, traue ich mich natürlich auch an die Registry und alles andere heran. 

Derzeitiger Stand: 

Dialer schreibt sich in das Windows-Root-Verzeichnis (dialerx.exe) 
Anschließend werden zwei kleine Verknüpfungen erstellt. 
Die T-DSL Leitung wurde gekappt (wie auch immer), das T-Online Einwählprogramm komplett außer Kraft gesetzt, läßt sich (derzeit) nicht restaurieren. 
Die Registry wurde erheblich verändert. 
0190-Warner schlägt sofort an und teilt o.g. Nummer als Einwählnummer mit, kann diese jedoch nicht entfernen. 

Alle Dateien von mir gesichert, als Beweis gut zu gebrauchen. 
Sämtliche Versuche, den Dialer zu de-installieren, schlugen bisher fehl (Windows XP Prof.). Werde daher die Festplatte meines Bekannten formatieren, was bleibt auch sonst..... 

Telekom und Reg-Behörde in Kenntnis gesetzt. 

Angeraten, Rechnung zu stornieren und nur die "echten" Kosten zu überweisen... 

Gut, wenn man nen Schutzmann kennt (gröhl).....kann man doch etwas mehr erreichen. 


CU all............Dierk


----------



## Reducal (26 Juli 2004)

Suuuper Doppelposting http://forum.computerbetrug.de/viewtopic.php?p=67770#67770


----------



## Anonymous (26 Juli 2004)

Ich kann die Videos nicht herunterladen. Hol dir doch bitte anderen Space als Geocities. Bei Mozilla passiert nix, mit Bitbeamer kommt "Zugriff verweigert", im IE kommt "Server oder DNS kann nicht gefunden werden".


----------



## dotshead (26 Juli 2004)

*Re: Strananzeige zu 0900-90000957/58*



			
				Dierk-mit-E schrieb:
			
		

> Dialer schreibt sich in das Windows-Root-Verzeichnis (dialerx.exe)



Geht das auch, wenn man auch ohne Admin-Rechte im I-Net surft?


----------



## Anonymous (27 Juli 2004)

Die für diesen Film verantwortliche Person ist möglicherweise einer unserer Geschäftskonkurrenten. ( oder jemand der für die Konkurenz arbeitet )

Wie auch immer: Das Wichtigste ist, dass der Film eine Fälschung  ist! . 

Erstens: Der Film zeigt kein lebendiges Szenarium. Das misteriöse exe-File wurde bereits runtergeladen auf die Harddisk des “Filmproduzenten”.

Nur ein Dummkopf würde zuerst ein Programm von dem Internet herunterladen, danach die Videokamera nehmen und das gleiche Programm diesmal aber von seiner eigenen Harddisk starten. Warum filmt er nicht den ersten Download , den er direkt vom Internet angeblich gemacht hat ?

Es hätte somit einen seriöseren Eindruck gemacht und  warum hat er dies nicht getan ? 
Die Antwort ist einfach: es ist ein Schwindel. Der “Filmproduzent” benutzt keines unserer exe-Files in dieser Filmfälschung. Es ist sein eigenes exe-File (oder seines Unternehmens wofür er arbeitet).

Der Shortcut-icon auf der Arbeitsfläche führt ein Programm aus , das beim  “Filmproduzenten" C:\WINNT\map dialerX. File genannt wird. Der Name des Programms ist NICHT der gleiche wie in unserer exe-Programm-File. Es ist schlichtweg  nicht unser Programm.

Beim Aufrufen der Webseite erscheint kein Inhalt, weil er kein gültig eingewähltes Programm über unseren Server benutzt . Jeder kann eine URL eingeben und die Start-Seite sehen.

Der Schwindel ist offensichtlich, denn alle technischen Szenarien im Film sind lokal oder auf einem eigenen Computer gemacht worden . Nicht LIVE im Internet! 

Es ist eine offzielles Strafdelikt, jemanden falsch zu beschuldigen und wir werden dies zur Anzeige bringen.


----------



## Captain Picard (27 Juli 2004)

Totaler Anonymous schrieb:
			
		

> Es ist eine offzielles Strafdelikt, jemanden falsch zu beschuldigen
> und wir werden dies zur Anzeige bringen.


Tu das , dann haben wir ja vielleicht die Gelegenheit den anonymen Anzeigenerstatter 
 kennenzulernen....

cp


----------



## sascha (28 Juli 2004)

Hurra, sie outen sich  8)


----------



## Insider (28 Juli 2004)

Anonymous schrieb:
			
		

> .... und wir werden dies zur Anzeige bringen.


... und wir bitten darum! Da zum derzeitigen Stand der Dinge womöglich kein strafrechtliches Verhalten erkannt werden kann, werden Ermittlungen von Amts wegen aller Wahrscheinlichkeit nach nicht einsetzen. Wo auch und vor allem von wem?


----------



## Counselor (28 Juli 2004)

Anonymous schrieb:
			
		

> Der Schwindel ist offensichtlich, denn alle technischen Szenarien im Film sind lokal oder auf einem eigenen Computer gemacht worden . Nicht LIVE im Internet!


Ich bin selbst in den zweifelhaften Genuß einer Matlock-bedialerten Seite gekommen. Die Seite war ein voller Fake. Mit dunkelgrauer Schrift auf schwarzem Grund war die Seite mit allen möglichen Suchworten vollgeschrieben (nennt sich Suma-Spam). Unscheinbare Hinweise dunkelgrau auf schwarz auf die Kosten. Der Schwindel war hier tatsächlich offensichtlich - auf eurer Seite.


----------



## Anonymous (28 Juli 2004)

Anonymous schrieb:
			
		

> Erstens: Der Film zeigt kein lebendiges Szenarium. Das misteriöse exe-File wurde bereits runtergeladen auf die Harddisk des “Filmproduzenten”.
> 
> Nur ein Dummkopf würde zuerst ein Programm von dem Internet herunterladen, danach die Videokamera nehmen und das gleiche Programm diesmal aber von seiner eigenen Harddisk starten. Warum filmt er nicht den ersten Download , den er direkt vom Internet angeblich gemacht hat ?
> 
> ...


Ja, das Szenario ist nachgestellt. Allerdings ist das Szenario nur deshalb, weil ich nicht eine unsichere IE Version installieren wollte. Fakten bleiben:
-dies funktioniert bei nicht aktualisiertem Exploit aus dem Web, siehe technische Beschreibung im PDF
-ich habe keinerlei geschaeftlichen Interessen daran, das hier ist reines(!) Hobby
Bin leider eine Woche weg, auf Konferenz. Wenns dem Forum hilft, so lange den Thread einfrieren!
Gr,
TSCN


----------



## Anonymous (4 August 2004)

*Es scheint, dass die Konkurrenz bzw. der Filmproduzent unser*

Es scheint, dass die Konkurrenz bzw. der Filmproduzent unsere Dialer Nummern benutzt hat, wie wir schon vermutet hatten. Wir haben sicherheitshalber von unserer Seite die Nummern blockieren lassen, damit diese uns nicht weiter schaden können und auch keine Kunden zu Schaden kommen könnten.

Hoffe, dass Ihr im Forum mal prüft, ob nicht einige Maulwürfe für Euch arbeiten. Sonst besteht auch Gefahr für Euch.

Ist auch rätselhaft und sehr VERDÄCHTIG, dass 2 Forenbeiträge zur gleichen Nummern eröffnet, unsere Stellungnahme jedoch in beiden Foren gelöscht wurde. (Maulkorb


----------



## Anonymous (28 September 2004)

*Re: Strananzeige zu 0900-90000957/58*

Habe diesen Dialer endlich bereinigt. Wie auch schon andere vermutet und festgestellt haben, wurde er in der svchost.exe aufgerufen.
Allerdings ist es nicht leicht, denn selbst im abgesicherten Modus ist die Datei svchost.exe gesperrt.
Ich habe mit Windows PE-CD gebootet, habe dann über einen Explorer eine andere svchost.exe über die bestehende kopiert.
Eine funktionierende svchost.exe müßte leicht in anderen Verzeichnissen zu finden sein (Achtung auf die Dateigröße), vor allem dann, wenn man bereits einige Windows-Patches reingespielt hat!!
Hoffe, das hilft Euch!!

lg
Helmut


----------

