# Die neuen "selbstlöschenden" Dialer



## Heiko (21 Juli 2003)

*Die neuen "selbstlöschenden" Dialer:
So schützen Sie sich, so wehren Sie sich*

<tt>Eine gemeinsame Veröffentlichung von dialerhilfe.de und dialerschutz.de</tt>

(21.07.03) Sie sorgen für Unruhe in der Internetgemeinde und für ein großes Medienecho: Vor kurzem wurde erstmals von einem Antiviren-Hersteller offiziell bestätigt, dass es "selbstlöschende" Dialer gibt. Seitdem überschlagen sich die Berichte von Usern über "Begegnungen" mit dem trojanerähnlichen Einwahlprogramm. Ganz bewusst haben dialerhilfe.de und dialerschutz.de zunächst keine Warnung ausgesprochen und sich auch mit einer Kommentierung zurückgehalten. Stattdessen haben die Teams von dialerschutz.de und dialerhilfe.de in enger Zusammenarbeit die Berichte ausgewertet und – vor allem - eigene Nachforschungen angestellt. Unsere vorläufigen Erkenntnisse haben wir in den nachfolgenden wichtigsten Fragen und Antworten für Sie zusammengefasst.

*1. Was ist ein "selbstlöschender" Dialer?*

Es handelt sich um einen Dialer, die nach der - unter Umständen automatischen - Installation auf dem PC des Betroffenen eine hochtarifierte Nummer (01908 = 1,86 Euro/Minute) anwählt. Diese Anwahl geschieht ohne bewusstes Zutun des Users. Anschließend vernichtet der Dialer sich selbst sowie fast alle Spuren, die auf seine Existenz auf dem PC hinweisen könnten. Betroffen von dieser Löschung sind sowohl die Datei selbst als auch History (Verlauf), Cookies und Cache-Speicher des Browsers. Zurück bleibt lediglich eine tmp-Datei - die sich allerdings durch einfaches Umbenennen in den Dialer zurückverwandeln lässt.

Das Programm wurde vom Antivirenhersteller Network Associated als Trojaner eingestuft und QDial11 getauft. Eine Reihe von Indizien und Parallelen lässt es als ziemlich sicher erscheinen, dass exakt dieser Dialer unter dem Namen teenxxx im Internet grassiert.

*2. Wie laufen Installation, Einwahl und "Selbstzerstörung" genau ab?*

Derzeit sind vier verschiedene Varianten der Installation nachgewiesen:

- manueller Download der exe-Datei
- ActiveX Installation und automatischer Start der exe-Datei
- Automatische Installation über ActiveX-Autoloader
- Ausnutzung einer Java-Sicherheitslücke in Windows (Patch existiert)
Nach der Installation schaltet der Dialer mögliche vorhandene Schutzprogramme ab und wählt eine 01908-Nummer. Anschließend erfolgt die Selbstzerstörung, wobei eine tmp-Datei nach dem Schema zahl.tmp (z.B. 13.tmp) im Temp-Ordner zurückbleibt.

Sofern die Einwahl nicht erfolgreich abgeschlossen wurde, verbleibt im Root-Verzeichnis C:\ eine exe-Datei nach dem Schema zahl.exe. Diese heißt 1971.exe oder ähnlich.

*3. Wie werden diese Dialer verbreitet?*

Selbstzerstörende Dialer sind offenbar vor allem hinter so genannten TGPs (Thumbnail Gallery Post) versteckt. Unter TGPs versteht man Bildergallerien mit – meist – erotischen Inhalten. Der Zugriff darauf ist in der Regel kostenlos und soll User auf kostenpflichtige Webseiten locken. In mehreren uns bekannten Fällen führte ein Klick auf einen der Links in Erotik-TGPs zu einer präparierten Webseite, die keinen Domainnamen, sondern nur eine IP-Nummer als Adresse hat. Dort startete der Download des selbstzerstörenden Dialers.

Theoretisch denkbar, wenn auch bislang nicht belegt, sind Verbreitungswege wie Spamming per Mail, Tauschbörsen oder andere entsprechend präparierte Webseiten.

*4. Wer ist der Hersteller und Verbreiter dieser Dialer?*

Dies ist bislang nicht bekannt und Gegenstand polizeilicher Ermittlungen. Dialerhilfe.de und dialerschutz.de liegt eine von Central24 signierte Version des Dialer, und eine von Central24 signierte Version des verwendeten Autoloaders vor. Inwieweit hier ein Zusammenhang hergestellt werden kann oder muss, kann von uns nicht beurteilt werden.

*5. Welche Nummern werden angewählt?*

In den uns vorliegenden Fällen wurden 01908-Nummern angewählt, die im Bestand der Deutschen Telekom AG liegen. Eine der Nummern, die 01908-72833, wurde nach Intervention des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zwischenzeitlich abgeschaltet. Bekannt ist uns auch die Verwendung der Nummern 01908-73212 und 01908-74370.

*6. Woran erkenne ich, dass ich Opfer eines solchen Dialers geworden bin?*

Bei gleichzeitigem Auftreten folgender Symptome ohne Ihr bewusstes Zutun sollten Sie misstrauisch werden:

- Der Cookies-Ordner Ihre Browsers ist leer
- Der Verlauf Ihre Browsers ist leer
- Die Temporären Internet Dateien (Cache) sind verschwunden
- Sie finden im Temp-Ordner eine Datei nach dem Schema zahl.tmp.
Welches Verzeichnis das Letztere genau ist hängt von Windows-Version und Konfiguration ab. Bei Win2k und XP hat jeder User sein eigenes Temp-Verzeichnis. Wo dieses liegt kann der Dialer offenbar aus der Registry und aus der Systemumgebungsvariable TEMP auslesen. Normalerweise ist es C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp.
- unbekannte 01908-Einwahl auf Ihrer Telefonrechnung.

*7. Was muss ich als Betroffener unternehmen?*

Beweis dafür, dass Sie Opfer dieses Dialers geworden ist, ist die tmp-Datei. Diese Datei - nach dem Schema zahl.tmp - lässt sich durch einfaches Umbenennen in zahl.exe in den Dialer zurückverwandeln. Sie finden die Datei entweder unter C:\ oder im Temp-Ordner. Diese genau 16,384 Bytes große Datei muss dringend auf Diskette oder CD gesichert werden. Unter XP besteht die Möglichkeit, dass man eine Kopie des Dialers auch im Ordner Window\Prefetch findet.

Am sichersten ist es natürlich, Sie sichern die gesamte Festplatte, ohne noch einmal etwas daran zu ändern. Sofern bekannt, sollten Sie auch die betreffende Webseite (URL) notieren sowie den Zeitpunkt des Befalls.

Erstatten Sie mit diesen Daten und Beweisen Strafanzeige gegen Unbekannt bei Ihrer nächstgelegenen Kriminalpolizei-Dienststelle. Informieren Sie zudem per Mail das für Sie zuständige Landeskriminalamt über Ihre Anzeigeerstattung. Nur so können die Ermittler das Ausmaß des Betruges erkennen.

Als finanziell Geschädigter können wir in diesem Fall nur dazu raten, die Zahlung der aufgelaufenen Einwahlgebühren zu verweigern. Weitere Hinweise zum Vorgehen finden Sie unter "Was tun bei Schaden" auf dialerhilfe.de.

*8. Wie kann ich mich vor selbstlöschenden Dialern schützen?*

Schalten Sie in den Sicherheitseinstellungen Ihres Internet Explorers alle ActiveX-Optionen ab und deaktivieren Sie Java. Damit müssen Sie allerdings in Kauf nehmen, dass viele - seriöse - Webseiten nicht, oder nicht mehr vollständig funktionieren.

Die meisten Schutzprogramme bieten in diesem Fall keinen Schutz, da sie von dem Dialer deaktiviert werden. Betroffen sind unter anderem 0190Alarm, 0190Killer, 0190Warner, Smart Surfer und DialerControl.

Sicherer ist auf jeden Fall eine Rufnummernsperre oder eine Hardware-Lösung als Einwahlschutz.

*9. Wie sind die vorliegenden selbstlöschenden Dialer rechtlich zu werten?*

Eine offizielle rechtliche Bewertung, etwa durch eine Staatsanwaltschaft, liegt noch nicht vor. Wir gehen davon aus, dass hier zumindest der Straftatbestand des Betruges (§ 263 StGB) und des Computerbetruges (263a StGB) erfüllt sind. Zu prüfen ist weiterhin, ob auch eine Datenveränderung (§ 303a StGB), bzw. bei betroffenen Firmen und Unternehmen eine Computersabotage (§ 303b StGB) vorliegt.


----------



## AmiRage (21 Juli 2003)

*[IRONIE]*
Also nein, meint ihr nicht, dass ihr jetzt langsam übertreibt? Erst erzählt ihr überall, dass es irgendwelche ominösen selbstinstallierenden Dialer gibt, und nun, nun meint ihr zusätzlich noch die Mär vom selbstlöschenden Dialer verbreiten zu müssen. Eure Phantasie möchte ich haben.
*[/IRONIE]*

SCNR  8)


----------



## Captain Picard (21 Juli 2003)

@AmiRage 
*[IRONIE]*
Seit wann gehörst zum "Fußvolk" des Kaisers von Berlin.....
*[/IRONIE]*
cp


----------



## Anonymous (22 Juli 2003)

Bin mal gespannt was da noch alles passiert. 

Ich habe die Datei 1970.exe gesichert und warte nun in Ruhe auf die Telekom Rechnung. 
Ich habe noch keine Anzeige o.ä erstattet.
Vielleicht geht das ja auch über eine Sammelklage.

Gruss



Logan


----------



## AmiRage (22 Juli 2003)

Logan schrieb:
			
		

> Vielleicht geht das ja auch über eine *Sammelklage*.


Also ich nehme zwei spitze und dazu zwei flache Steine und ein Paket Kies. Müßte eine lustige Steinigung werden.


----------



## Duc (22 Juli 2003)

*Ihr seid aber gehässig *

lol, na vielleicht hat der Gast ja vorher nicht das ganze Forum, sondern nur diese Rubrik hier gelesen?

Ich denke, oftmals ist es so, daß man nach einem bestimmten Erlebnis einfach so schnell wie möglich etwas zu seinem "Problem" erfahren will und in einem Forum landet, wo dann darüber jede Menge zu lesen ist.

Will sagen, manchmal postet man im Eifer des Gefechts was, wo man später dann merkt, daß 1000 andere vorher schon das Gleiche getan hatten


----------



## Heiko (22 Juli 2003)

<mode marktschreier>
*Otternasen

Zaunköniglebern

Runde Steine

Flache Steine

Spitze Steine*
</mode marktschreier>


----------



## virenscanner (22 Juli 2003)

<mode dLdBrian>
Jehova, Jehova
</mode dLdBrian>
 :steinigung:


----------



## Shaman (23 Juli 2003)

*Selbstlöschender Dialer*

Ich habe heute den Dialer *.tmp (teenxxx), einer der momentan bekanntesten Selbstlöscher, der Firma H+BEDV Datentechnick (Anti-Vir) zur Prüfung vorgelegt. Er ist dort als Trojanhorse TR/QDial 1970 bekannt und wird als Kombination von Trojaner und Dialer bezeichnet.
Die Datei*.tmp ist verpackt mit dem Laufzeitpacker UPX im Internet und wird deshalb von den Virenscannern nicht erkannt, erst im entpackten Zustand als exe-Datei ist sie als Trojaner von Virenscannern zu erkennen.
Wers nicht glaubt kann die Datei von mir haben und es selber :lol:  ausprobieren.

Ich habe heute jedenfalls Anzeige erstattet und die Chancen stehen bei den Beweisen ganz gut.

Shaman


----------



## Shaman (23 Juli 2003)

*selbstlöschende Dialer*

Sorry, muß mich korrigieren: Die *.tmp wird vom Virenwächter nicht erkannt, vom Hauptprogramm dagegen inzwischen schon durch entpacken. Die *.exe Version hingegen ist als Trojaner nicht mehr zu erkennen und wird demnach nicht angezeigt.


----------



## Anonymous (23 Juli 2003)

bin ich so bescheuert?

Hab ich was nicht mitbekommen?

Habe in der Tat nicht alle 5 Millionen Beiträge hier im Forum gelesen.


Gruss


Logan


----------



## Logan (23 Juli 2003)

OK, OK,

Sammelklage ist nicht. Hab wohl zu viele amerikanische Filme geschaut. Wer lesen kann ist auch hier ganz klar im Vorteil.


----------



## Duc (23 Juli 2003)

Logan schrieb:
			
		

> OK, OK,
> 
> Sammelklage ist nicht. Hab wohl zu viele amerikanische Filme geschaut. Wer lesen kann ist auch hier ganz klar im Vorteil.




kann ja mal vorkommen


----------



## Shaman (23 Juli 2003)

*Duc*

Wer trotzdem Klagen will:
Nutznießer der Nummern ist *.........*
einmal mit Firma Netzwelt plus Gmbh, Wilfriedstraße 5 in 64668 Rimbach
für 0190-8-73212,-72833 und-72830 und der selbe Herr mit der Firma Worldlines GmbH, Benzstr.2 in 64648 Heppenheim für die 0190-8-74370 (Quelle: Deutsche Telekom)

*[Virenscanner: Name gemäß NUB gelöscht]*


----------



## Ulf (23 Juli 2003)

*Re: Duc*



			
				Shaman schrieb:
			
		

> Wer trotzdem Klagen will:
> Nutznießer der Nummern ist *.......*
> einmal mit Firma Netzwelt plus Gmbh, Wilfriedstraße 5 in 64668 Rimbach
> für 0190-8-73212,-72833 und *-72830* und der selbe Herr mit der Firma Worldlines GmbH, Benzstr.2 in 64648 Heppenheim für die 0190-8-74370 (Quelle: Deutsche Telekom)



...und wer mir noch diesen Selbstzerstörungsdialer, der genau die fett markierte Nummer antelefoniert, besorgen kann, dem wäre ich sehr dankbar. Die -72833 wurde ja mittlerweile gesperrt, gleiches würde ich gerne für die andere Nummer erreichen ...weil die halt mich betrifft. 

...oh ja, und klagen wegen Betrugs würde ich dann auch gerne, aber ohne Beweis geht's halt schlecht (und bei mir ist wirklich nichts mehr zu "retten").

mfg Ulf
Bitte erst einmal per PN, dankeschön.


----------



## Shaman (23 Juli 2003)

*Re: Duc*



> Die -72833 wurde ja mittlerweile gesperrt, gleiches würde ich gerne für die andere Nummer erreichen ...weil die halt mich betrifft.



Darüber hinaus wurden die 0190-873 211, 873 212, 873 213 und die 874 370 von der Telekom auf Veranlassung des BSI als selbstlöschende Dialer gesperrt.
Wer darüber eine Rechnung erhält kann laut Bundesministerium für Sicherheit in der Informationstechnik (BSI) gegen die Bezahlung erfolgreich Widerspruch einlegen.
Wer weitere selbstlöschende Dialer mit anderen Nummern entdeckt, sollte diese unbedingt ans BSI schicken!! mail: [email protected]


----------



## Dino (23 Juli 2003)

Gibt es denn eigentlich für Normalsterbliche eine Möglichkeit festzustellen, ob eine bestimmte Nummer bereits abgeschaltet wurde? Einmal abgesehen von der Idee, die Nummer testweise anzurufen, versteht sich!

Gruß
Dino


----------



## Anonymous (23 Juli 2003)

Dino schrieb:
			
		

> Gibt es denn eigentlich für Normalsterbliche eine Möglichkeit festzustellen, ob eine bestimmte Nummer bereits abgeschaltet wurde? Einmal abgesehen von der Idee, die Nummer testweise anzurufen, versteht sich! Dino


...wahrscheinlich nicht! Aber bei den Nummern könnte sich ein Testanruf wirklich lohnen, wenn es einem echt ernst um die Information ist - im ungünstigsten Fall wären das lediglich 1,86 für die angefangene Minute, länger dürfte der Testruf nicht dauern.


----------



## Dino (23 Juli 2003)

Richtig, aber die Masse macht's! Zudem müsste ich dabei die T-Rechnung meines Nachbarn belasten...ach nee, dem hab' ich ja auch 'ne Rufnummernsperre aufgeschwatzt...!

Außerdem wäre ich dann wohl der einzige deutsche Telefonkunde, der diese TeenXXX-Nummern bewusst gewählt hat. Neenee, kommt nicht infrage.

Gruß
Dino


----------



## Anonymous (23 Juli 2003)

@Dino, wenn´s Dich arg so reizt, dann nimm halt Dein Handy! Oder Du wartest, bis ich Dir in den nächsten Tagen Bescheid gebe!


----------



## Dino (24 Juli 2003)

Na, da wart' ich dann doch lieber!
Außerdem - wenn ich 'ne 0190 wählen sollte, würden mir wahrscheinlich dermaßen die Finger verkrampfen, dass mein Handy leidet...  

Gruß
Dino


----------



## ferrari (24 Juli 2003)

*Selbstlöschende Dialer*

Wer kennt sich denn mit der Datei vsdata95.vxd aus habe einen Link, offenbar setzt dieser Wurm diverse Sicherheitssysteme Schach matt!

http://www.uni-karlsruhe.de/Uni/RZ/Netze/Sicherheit/V_Gunsan.html


----------



## Anonymous (24 Juli 2003)

*Re: Duc*



			
				Shaman schrieb:
			
		

> Darüber hinaus wurden die 0190-873 211, 873 212, 873 213 und die 874 370 von der Telekom auf Veranlassung des BSI als selbstlöschende Dialer gesperrt.


@Dino, die Nummern sind gesperrt!


----------



## Dino (24 Juli 2003)

Danke, Anna!

Wäre doch eigentlich eine feine Sache, wenn Otto-Normal-Bespamter eine offizielle Info-Quelle hätte.

Ist es denn definitiv, dass alle genannten Nummern im Zusammenhang mit dem "Suizid-Dialer" gesperrt worden sind?
Es gab da nämlich explizit bzgl. der 873211 Anfragen nicht nur in diesem Forum. Auch bei Dialerschutz.de wurde nach dieser gefragt, allerdings war der Fragesteller der Meinung, er hätte bereits einen anderen Dialer vernichtet, der sich offen gezeigt hat. Es könnte natürlich sein, dass sich ein weiterer Dialer in den Dienst dieser Nummer gestellt hat.

Gruß
Dino


----------



## PvW (24 Juli 2003)

@Ferrari

Diese Datei gehört zu ZoneAlarm.

Grüße

P.


----------



## Comedian1 (24 Juli 2003)

*Re: Selbstlöschende Dialer*

gelöscht


----------



## Anonymous (24 Juli 2003)

Dino schrieb:
			
		

> Wäre doch eigentlich eine feine Sache, wenn Otto-Normal-Bespamter eine offizielle Info-Quelle hätte.


...hatte es gewagt und auch blos angerufen. Man müsste mal alle Nummern kennen, dann beantwortet sich die Frage nach dem Dialer bald von selbst.


----------



## Dino (24 Juli 2003)

Ich habe nun schon einige Nummern wegen Missbrauchs bei dem entsprechenden Eigentümer gemeldet. Mannomann, die sind teilweise soooo kooperativ, dass es einen aus den Socken haut.

Sinngemäß:
"Blablabla...tut uns fürchterlich traurig, dass Sie Ärger hatten...blablabla...hier nennen wir Ihnen den Betreiber...blablabla...Ärger Dich doch selbst mit dem Typ rum...blablabla..."

Und dann steh' ich wieder wie der Ochs' vorm Berge und weiß nicht so recht, ob ich die genannte Adresse in kisuaheli ansprechen oder mehr ein Derivat der spanischen Sprache einsetzen sollte.

Eine Rückmeldung ob etwaiger Maßnahmen erfolgt in aller Regel nicht, außer einem sinngemäßen "...haben ihr Genörgel weitergeleitet!".

Ich kann jedoch nicht selbst überprüfen, ob ggf. eine Nummer abgeschaltet wurde, außer wenn ich dort anrufe. Auf Dauer würde mein Idealismus dann wohl durch mein Einkommen ausgebremst werden.

In §13a TKV heißt es ja sinngemäß, dass das TK-Unternehmen verpflichtet ist, sich der Sache anzunehmen und...(jetzt kommt's)...bei wiederholtem schwerwiegendem Missbrauch die Nummer abschalten muss.
Ich selbst kann aber ebenso wenig wie alle anderen ggf. vorhandenen Beschwerdeführer feststellen, ob es bereits wiederholt zu Verstößen kam oder ob weitere Beschwerden vorliegen, sodass ich auf Abschaltung der Nummer bestehen könnte. Vielleicht gibt es schon 100e von Meldungen, aber ich kann es nicht beurteilen. Ich muss hinnehmen, wenn ich mit "Sie sind da ein Einzelfall" abgespeist werde.

Gruß
Dino


----------



## Shaman (25 Juli 2003)

Hallo Dino,

Ich habe die Mitteilung über die Abschaltung der Nummern direkt vom Bundesamt für Sicherheit in der Informationstechnik erhalten, die die Abschaltung auch veranlaßt haben. Vielleicht ist das die bessere Beschwerdestelle als die jeweilige Telefongesellschaft...
mail: [email protected]


----------



## Anonymous (25 Juli 2003)

Moin,

Sie listen nun auch alle Dialer die in diesem Zusammenhang gesperrt wordde sind auf:

http://www.bsi.bund.de/av/dialer/dialer0807selbst.htm

mfg Ulf


----------



## technofreak (25 Juli 2003)

Ulf (nicht eingeloggt) schrieb:
			
		

> Sie listen nun auch alle Dialer die in diesem Zusammenhang gesperrt wordde sind auf:
> http://www.bsi.bund.de/av/dialer/dialer0807selbst.htm


Kleine Korrektur, nicht die Dialer sind gesperrt, die können gar nicht gesperrt werden,
 sondern die Einwahlnummern.


> Dieser Dialer versucht nach dem Start
> selbständig die kostenpflichtige Nummer* 0190-8-72-833 *(€ 1,86
> pro Minute) anzuwählen.
> 
> ...


tf


----------



## AmiRage (25 Juli 2003)

Technofreak schrieb:
			
		

> Kleine Korrektur, nicht die Dialer sind gesperrt, die können gar nicht gesperrt werden, sondern die Einwahlnummern.


Wie lange bleiben denn eigentlich solche Rufnummern gesperrt, bevor sie erneut vergeben werden können?


----------



## dvill (25 Juli 2003)

Ist das eine Geschäftsidee?

Sieht jedenfalls genial aus: Einfach gesperrte Nummern neu aktivieren, einen ordentlichen Festpreis festlegen und auf die warten, die mit dem alten Dialer "zufällig" einwählen.

Da die meisten Opfer schamvoll zahlen, bleibt schön was im Netz hängen, bei Null Risiko. Die Stornoquote läßt man sausen. Fertig.

Wahrscheinlich war die Frage anders gemeint. Es gibt keinen Grund, Nummern überhaupt wieder zu aktivieren, es gibt genug neue.

Aber die geschäftstüchtigen Mitverdiener vertreten vermutlich andere Ansichten, wie so oft.

Dietmar Vill


----------



## AmiRage (25 Juli 2003)

dvill schrieb:
			
		

> Wahrscheinlich war die Frage anders gemeint. Es gibt keinen Grund, Nummern überhaupt wieder zu aktivieren, es gibt genug neue.


Sicher war die Frage ernst gemeint. Und dass es - zumindest vorerst - genug neue Nummern gibt ist mir auch klar, aber gibt es etwas Verbindliches diesbezüglich?


----------



## technofreak (25 Juli 2003)

AmiRage schrieb:
			
		

> Sicher war die Frage ernst gemeint. Und dass es - zumindest vorerst - genug neue Nummern gibt ist mir auch klar, aber gibt es etwas Verbindliches diesbezüglich?



http://forum.webmart.de/wmmsg.cfm?id=1183105&sr=1&d=90&t=1510323&pg=2#7605598
[Der Link kann nur als angemeldetes Mitglied bei Dialerschutz aufgerufen werden) 
Da das BSI auskunftsbereit zu sein scheint, könnte man ja denen diese Frage stellen.

Ansonsten kommt mir ein (zugegeben zynischer) Vergleich in den Sinn: Kinderbanden werden 
von Hintermännern losgeschickt auf Diebestour, wenn die geschnappt werden ist die Polizei/Justiz
 machtlos, muß sie laufenlassen und bereits vor der Polizeiwache geht das Spiel weiter....
tf


----------



## Dino (25 Juli 2003)

Danke, Shaman und Ulf!

Das ändert nur leider nichts an der Grundsätzlichkeit des Problems. Ich meckere deshalb schon länger, dass eine wesentlich bessere Transparenz für Verbraucher unbedingt notwendig ist.

Gruß
Dino


----------



## Ulf (25 Juli 2003)

Technofreak schrieb:
			
		

> Kleine Korrektur, nicht die Dialer sind gesperrt, die können gar nicht gesperrt werden, sondern die Einwahlnummern.


Ha, ja ...das wär' ja auch zu schön. 

mfg Ulf


----------



## didi77 (25 Juli 2003)

*Selbstversuch*

Zunächst einmal vielen Dank an Dino, der mir den Dialer zum Ausprobieren zugeschickt hat.

Versuchsaufbau:

a) zur Nervenberuhigung erstmal Kasten Bier neben den PC gestellt, da fühlt man sich direkt als Experte.
b) mit PQMAGIC aktuelles Festplattenimage gezogen, ältere Sicherung auf CD auch noch vorhanden (bin nach der 3. Flasche noch guter  Dinge, alles voll im Griff)
b1) 0190 WARNER installiert, obwohl ich den bei meiner Routeranbindung eigentlich garnicht brauche, mal sehen, was passiert. Habe aber letztens feststellen müssen, dass der Router von jedermann über Port23 monatelang zugänglich war und man die Konfiguration problemlos hätte abziehen können. Auf gut Deutsch: einmal im INTERNET veröffentlicht wählen sich Tausende  auf meine Kosten ein !, bin also auch nicht unfehlbar. Mit zitterenden Händen die TELEKOM-Rechnung aufgemacht  - (bislang) Glück gehabt.
c) Installation von INSTALLWATCHPRO, um später Änderungen nachweisen zu können, leider blieb das Programm nach 1 Stunde stehen, da mit 80 GB-Platten  wohl etwas überfordert. Nochmal die relevanten Partitions C + D damit abgezogen.
d) Die von Dino zugeschickte TMP-Datei runtergezogen und in *.EXE umbenannt und in das extra eingerichtete Verzeichnis c:\TOD gespeichert, dann angeklickt.
e) schont popt der ANTIVIR auf, dass es sich um den Trojaner QDIAL (-1970) handelt. Na gut, noch ne Pulle Bier und dann volles Risiko, ANTIVIR deaktiviert und die EXE nochmal gestartet.
f) Es erscheint die Meldung "0190 Warner wird nicht ausgeführt, daher ist kein Verbindungsaufbau möglich". 3mal muss diese Meldung mit "ok" quittiert werden, bevor sich das Programm dann lautlos verabschiedet.
g) Meldung "27.exe (der Dialer) hat Fehler verursacht und wird geschlossen. Starten Sie das Programm neu"
h) Na gut, nochmal gemacht, mit den gleichen Effekten. Kann auf der Kiste jedoch nichts "Verdächtiges" feststellen, weder in der Registry noch in irgendwelchen TEMP-Ordnern. Keinen Bock nochmal 1 Stunde auf den INSTALLWATCH zu warten, um einen Vergleich zu ziehen.
i)Habe den starken Verdacht, dass sich das Programm in den Default-Temp-Ordnern einnistet. Bei 1 GB RAM habe ich eine RAMDISK von 200 MB eingerichtet auf Z, in der sämtliche TEMP-Dateien landen, die beim nächsten Booten  dann weg sind, kann ich nur jedem empfehlen.
Dort ist nichts Auffälliges zu sehen.
j) Bin guter Dinge, deswegen den Dialer auf PC gelassen und nochmal ein Check mit einigen "Securityprogrammen":

- Norton Antivirus:   erkennt nichts
- SYPOT              :   erkennt nichts
- ADAWARE         :   erkennt nichts
- TDS                  :   erkennt nichts

Sende das Teil gleich mal an den "Chefprogrammierer" von TDS, der kriegt jetzt "Stoff" von mir.
k) Verstehe nur nicht dass  der IE direkt geclosed wird,wenn ich auf die BSI-Seite gehe um weitere Informationen einzuholen und dass von einem anderen PC (????), bei anderen Seiten 0 Probleme.
l) Sicherheitshalber Image zurückgespielt, vom Feinsten, PC kommt direkt hoch, darauf noch ein Bier.
m) Etwas mehr "Thrill" hätte ich mir doch erwartet, wenn ich das alles richtig verstanden habe, betrifft der Dialer doch nur Modemuser ???.

Gruss
Dieter


----------



## technofreak (25 Juli 2003)

*Re: Selbstversuch*



			
				didi77 schrieb:
			
		

> m) Etwas mehr "Thrill" hätte ich mir doch erwartet, wenn ich das alles richtig verstanden
> habe, betrifft der Dialer doch nur Modemuser ???.



Dialer (zumindest die finanzielle Seite) betreffen immer nur Modemuser (ISDN/Analog) , 
aber auch DSL-User wenn sie "vergessen" haben, daß noch eine ISDN/Analog-Verbindung
 (z.B Faxmodem ) parallel  besteht. Dann sucht sich der Dialer diesen "lukrativen" Weg. 
siehe auch: http://forum.computerbetrug.de/viewtopic.php?t=351

tf


----------



## Dino (25 Juli 2003)

*Re: Selbstversuch*



			
				didi77 schrieb:
			
		

> ...
> m) Etwas mehr "Thrill" hätte ich mir doch erwartet, wenn ich das alles richtig verstanden habe, betrifft der Dialer doch nur Modemuser ???...



Du musst das mal so sehen: Erstens warst Du vorbereitet, zweitens gehst Du über einen Router online und drittens scheinst Du nicht ganz unerfahren zu sein. Da rennt der kleine Fiesling gegen eine Wand!
Außerdem hast Du den Dialer direkt gestartet. Ein besonderer Aspekt dieses Fieslings bestand nämlich auch in der Art, wie er durch die Webseite installiert und zur Ausführung gebracht wurde.

Versetz Dich mal in die Lage von User 08/15. ALDI-PC, 3 Monate alt, ISDN, FreeNet by Call und sogar schon mal was davon gehört, dass man ActiveX besser abschalten sollte, wenn man keine unangenehmen Überraschungen erleben will, und ein Dialerschutzprogramm ist auch installiert. Vom Kumpel auffe Maloche hat er *die* Adresse bekommen, wo man mal was zu sehen bekommt...
Dann kommt die stille Stunde und...na, schau'n 'mer doch mal, ob die nackeligen Mädels bei www.c.....tgp.com noch da sind (nach der Beichte am kommenden Sonntag ist in Sachen Seelenheil wieder alles ok...). Und siehe da, die Mädels sind alle noch da und sogar viele. Da schauen wir doch mal in Ruhe ein bisschen hinter die Kulissen. Booooaaaah! 1. Link - naja, 2. Link - oh, prima, 3. Link - eyyyyh, 4....., 15. Link - Ups, was' das denn...Diverse PopUps tauchen auf und irgendetwas stimmt da nicht. Die Internetverbindung ist off.
3 Tasks sind in der Taskleiste offen. Einer hat kein Fenster, lässt sich aber auch nicht schließen wie sonst immer. Reaktion: "?????????? :roll: " Noch ein Versuch...Nee, geht nicht weg...

Über ISDN braucht der Dialer keine 3 Sekunden zur Einwahl. Bis dahin hat User 08/15 überhaupt noch nicht geschnallt hat, was los ist! Vielleicht rätselt er sogar inzwischen darüber, weshalb es im SysTray anders aussieht als sonst (Anm.: Das Icon des Dialerwarners is' wech!).

Jetzt schwant User 08/15, was passiert ist. Hektik setzt ein. Irgendwo muss man das doch abschalten können. Nee, geht nicht! Wo ist der verdammte ISDN-Stecker (shit, hinterm Schreibtisch, 08/15 kommt nicht ran), PC ausschalten...ist 'n ATX, dauert ganze 5 Sekunden, bis das Halten des Knopfes Wirkung zeigt.

Inzwischen hatte der Dialer Gelegenheit, nachdem der erste Einwahlversuch nicht funktionierte (Nummer bei T. bereits abgeschaltet) 3 weitere Nummern abzuklappern. Irgendeine funktionierte dann schon.

So, und nun steht User 08/15 bedröppelt da, hat er doch mal in irgendeiner Security-Site gelesen, dass er Beweise braucht. Er sucht und sucht, aber findet keine exe. Ja, und auch die Seite, die ihm da so übel mitgespielt hat, findet er nicht mehr, denn die URL, das weiß er noch, war nur so eine kryptische Zahlenkolonne, die er sich auf die Schnelle nicht merken konnte, und im Verlauf steht absolut gar nichts mehr.

So kann es ablaufen. Und der Schaden wäre dabei wahrscheinlich gar nicht mal so groß bei einer 0190-8....., aber es gibt auch das Szenario, dass 08/15 es zunächst gar nicht bemerktund über die neue Verbindung munter weitersurft - bis zu einer Stunde. Das macht dann Summa summarum 111 Euronen und 60 Cent. 

Alles in Allem war das dann ein lustiger Abend. Viel gesehen, viel erlebt und um die Erfahrungen reicher, dass 
- die Welt nicht nur aus Idealisten besteht
- dringend eine 0190-Sperre her muss
- weiterer Rat bei dialerhilfe.de und/oder dialerschutz.de erforderlich ist

Für User 08/15 war es dann Thrill genug für die nächste Zeit...

Gruß
Dino


----------



## didi77 (26 Juli 2003)

*hast recht*

Hallo Dino,

nichts für ungut,hast natürlich vollkommen recht. Bin aber dennoch manchmal entsetzt, wie leichtsinnig manche vorgehen. Habe in meinem Bekanntenkreis Leute, deren Kinder stundenlang unbeaufsichtigt im Internet surfen. Auf meine Frage, ob zumindest eine FW oder ein Virenscanner installiert sei, wurde ich ungläubig angeguckt, nach dem Motto: "Was ist das denn ?". Schuld daran ist auch die Werbung: "PC einfach anschliessen und schon ist man online"
Auch der letzte sollte inzwischen gehört haben, dass man ohne irgendeinen Schutz nicht ins Internet gehen sollte.
100%ige Sicherheit gibt es nie, aber Äusserungen wie "Meine Firewall hat den Dialer nicht entdeckt und durchgelassen" machen mich fassungslos.

Gruss
Dieter


----------



## Devilfrank (26 Juli 2003)

_- Norton Antivirus: erkennt nichts 
- SYPOT : erkennt nichts 
- ADAWARE : erkennt nichts 
- TDS : erkennt nichts _

Das können sie auch nicht, aus unterschiedlichen Gründen.
Der NAV rührt sich nicht, da kein viraler Code ausgeführt wird, SpyBot und Adaware scannen meines Wissens nicht im C:\Temp und genau dort führt sich der Dialer aus. TDS kenne ich nicht.
Der Dialer wird auch in the wild über IFRAMES der präparierten WebSite gesteuert und über JavaScript ausgeführt. Hier hätte mit Sicherheit die Script-Blockierung des NAV gegriffen und es wäre gar nichts passiert.

Ich bin total gespannt, was die Chefprogrammierer von TDS noch so rausfinden.


----------



## Logan (28 Juli 2003)

sooooo,



auf meiner Telekom Rechnung steht Verbindungen zu 0190x -> 1,07 Euro,
nicht viel, aber ich habe die Abbuchung schon zurückgefordert. Werde dann den unstrittigen Bertag überweisen und schauen was dann passiert.


Gruss


Logan


----------



## didi77 (28 Juli 2003)

*In TDS aufgenommen*

Habe am Wochenende den Dialer mit ein paar Erläuterungen  nach Australien übermittelt und seit heute ist er in der Datenbank als "porndial.g" aufgenommen. Gerade getestet, wird direkt erkannt.

Soll jetzt keine Werbung sein:
Für alle, die es nicht wissen: TDS (genauer Produktname TDS-3) ist ein Programm zum Aufspüren von Trojanern. Sehr umfangreich, damit kann man auch "zurückschlagen" wenn gerade jemand auf den PC zugreifen wil
Der Code wird weiter untersucht und man versucht eine "generic detection" einzubauen, d.h., dass auch gleichartige Programme in Zukunft direkt geblockt werden.

Gruss
Dieter


----------



## Logan (3 September 2003)

bin aus dem Urlaub zurück.

Habe mit der Telekom alles geklärt. Die verzichten auf das Geld und erstatten mir 4 Euro an Gebühren die die dafür haben wollten, das ich die Lastschrift zurückgefordert habe. Haben mich sogar angerufen.

Toller Service.


Gruss

Logan


----------



## Shaman (3 September 2003)

Logan schrieb:
			
		

> bin aus dem Urlaub zurück.
> 
> Habe mit der Telekom alles geklärt. Die verzichten auf das Geld und erstatten mir 4 Euro an Gebühren die die dafür haben wollten, das ich die Lastschrift zurückgefordert habe. Haben mich sogar angerufen.
> 
> Toller Service.



Kann ich nur bestätigen. Ich habe gestern von der Telekom auch das Geld erstattet bekommen.

Gruß

Shaman


----------



## Anonymous (21 Oktober 2003)

Hallo,

welcher 0190-Geschädigter hatte bei der Telekom Erfolg mit den gesperrten Nummern?  Reicht es aus der DTAG zu schreiben, dass die Nummern vom BSI gesperrt wurden?
Bin selbst Opfer und die DTAG verlangt insgesamt 166 Euro.
Die Dialer auf meiner Festplatte wählen die Nummern 0190-873211, 872830 und 874370 an. Zwei der Nummern sind auf jeden Fall lt. BSI gesperrt.


----------



## Logan (21 Oktober 2003)

Hi Froggi,


ich habe der Telekom mündlich mitgeteilt welche Nummer angewählt worden ist und das die Nummer beim BSI bekannt sind. Dann war alles kein Problem mehr. War allerdings auch nur 1,07 Euro + 4 Euro für die Rücklastschrift.


Gruss
Logan


----------



## Anonymous (21 Oktober 2003)

Hattest Du von vorne herein einen ungekürzten Einzelnachweis? Die letzten drei Stellen sind bei mir geixt. Habe die Nummern nur durch "ausprobieren" des Dialers herausbekommen.
Vielleicht reicht der TK das als Beweis nicht?


----------



## Anonymous (21 Oktober 2003)

*Nummern*

Sofern kein ungekürzter Nachweis zur Verfügung steht: Einfach anfordern. Wie aus www.dialerundrecht.de hervor geht, ist der Telekomanbieter im Reklamationsfall verpflichtet einen ungekürzten Einzelverbindungsnachweis kostenlos zur Verfügung zu stellen.
Einfach hartnäckig bleiben.

Aktenzeichen: 
Urteil des AG Norderstedt vom
                          01.10.2003 - Az.: 42 C 119/03

Urteil des AG Krefeld vom 24.09.2003 -
                          Az.: 71 C 172/03

Urteil des AG Berlin-Wedding vom
                          08.09.2003 - Az.: 21 b C 83/2003


Urteil des AG Reinbek vom 27.08.2003 -
                          Az.: 5 C 313/03

                          Urteil des LG Berlin vom 02.07.2003 Az.:
                          26 0 78/03


Urteil des LG Nürnberg-Fürth vom
                          27.03.2003 Az.: 11 S 8162/02

Urteil des KG Berlin vom 27.01.2003 Az.:
                          26 U 205/01

Amtsgericht Paderborn, Urteil vom
                          10.04.2002 Az.: 54 C 572/01

Amtsgericht Wiesbaden, Urteil vom
                          25.09.2002 Az.: 92 C 1440/02



Wegen der Sache mit den gesperrten Nummern würde ich der Telekom die entsprechende Pressemitteilung des BSI faxen, mailen oder schicken. Dann wird wohl hoffentlich der letzte Sachbearbeiter dort von der Angelegenheit wissen.
Sicherheitshalber auch die Verbraucherzentrale einschalten.


----------



## Shaman (21 Oktober 2003)

Froggi schrieb:
			
		

> Hallo,
> 
> welcher 0190-Geschädigter hatte bei der Telekom Erfolg mit den gesperrten Nummern?  Reicht es aus der DTAG zu schreiben, dass die Nummern vom BSI gesperrt wurden?
> Bin selbst Opfer und die DTAG verlangt insgesamt 166 Euro.
> Die Dialer auf meiner Festplatte wählen die Nummern 0190-873211, 872830 und 874370 an. Zwei der Nummern sind auf jeden Fall lt. BSI gesperrt.



Hallo Froggi,
wende dich am besten gleich an das Beschwerdemanagement der Telekom in Bonn. Tel.: 0228 1810. Dort hatte ich mit den Nummern auch Erfolg. Bei den Hotlines haben die  immer recht wenig Ahnung.
Viel Glück
Shaman


----------



## Logan (22 Oktober 2003)

Hi Froggi,

ich habe gar keinen Einzelgebührennachweis. Ich hatte den Dialer (1970.exe) auf meinem Rechner gespeichert. Das reichte denen.

Gruss

Logan


----------



## Anonymous (22 Oktober 2003)

*erster Teilerfolg*

 Hallo,

Ich habe eben zwei Dialer-Dateien (auto.exe und 1300.exe) an das BSI geschickt, weil eine der Nummer offenbar noch nicht gesperrt worden ist. 

Ausserdem habe ich die Beschwerdestelle der TK angerufen. Nachdem der Mitarbeiter erstmal behauptet haben, von gesperrten Nummern nichts zu wissen, mir unterstellt haben, ich hätte mich nur ein einziges Mal bei Ihnen gemeldet und der offene Rechnungsbetrag beträfe nicht nur die 0190-Nummern, sind sie am Ende ziemlich Verlegen geworden. 

Ein paar Stunden später rief die TK Wuppertal bei mir an, und teilte mir mit, dass die Gebühren, die über die gesperrten Nummern gelaufen sind, ausgebucht werden. Allerdings wäre ja eine Nummer nicht gesperrt (0190-872830), die müsse bezahlt werden und für weitere Ansprüche solle ich mich an Netzwelt Plus GmbH wenden. Zudem würde sich demnächst der Rechtsanwalt bei mir melden.   :lol:  Soll er doch. 
Aber das Telefon werde nicht gesperrt, da ja nur die 0190-Nr. noch nicht bezahlt worden sind.  
Das sollte ich mir besser schriftlich geben lassen.  

Nun bin ich neugierig auf die Ergebnisse vom BSI, vermutlich muss ich Netzwelt Plus anschreiben, um die Firma herauszufinden, die dahintersteckt.

Kann ich man eigentlich davon ausgehen, wenn dieselbe Dialerdatei zwei verschiedene Nummern anwählt (eine davon gesperrt), dass man davon ausgehen kann, dass die andere Nummer auch rechtlich nicht in Ordnung ist? Reicht dies als Beweis?

Gruss
Froggi


----------



## Anonymous (22 Oktober 2003)

*Unsichtbarer Dialer*

Tagchen. hab ne rechnung von der Telekom bekommen die besagt, das ich eine verbindung mit einer 01908 nummer(genau 0190833625xxx) hatte. Kommt jemanden diese bekannt vor??? Hab hier auch schon das Thema verfolgt und nach der tmp-datei geschaut. Aber leider nix gefunden. Der vorfall soll am 30.09. stattgefunden haben, von 0.48-0.58uhr für schlappe 94 eur. So besagt es der verbindungsnachweis. Ich sehe eigentlich keinen grund dies zu bezahlen, da ich ja auch kein nutzer solcher nummer bin 8) ... gehe also davon aus, das es sich hier auch um einen solchen dialer handelt, nur leider lässt sich das wie gesagt anscheinend nicht nachweisen. Wie sollte ich mich jetzt verhalten? Gibt es noch eine andere unkomplizierte möglichkeit diesen dialer zu enttarnen??? Und wie sind meine Rechtlichen Möglichkeiten??? Wie gesagt bezahlen!!! Sehr ungern :-?


----------



## Veruschka (22 Oktober 2003)

@ Froggi

Gratuliere Dir zu deinem Teilerfolg.

Es ist der Dialer der sich ohne ein Zutun die Verbindung zu einer Mehrwertnummer aufbaut und nicht die Telefonnummer.  
Die Netzwelt kannst Du anschreiben, aber es ist die Telekom die von Dir Geld will. Sie wird Dir belegen müssen dass Du willentlich die Verbindung aufgebaut hast und Du auch eine Leistung erhalten hast. 

Veruschka


----------



## virenscanner (22 Oktober 2003)

Die Postings zum Problem von "Le_Fix" wurden abgetrennt und befinden sich nun hier: http://forum.computerbetrug.de/viewtopic.php?t=3058


----------



## Dino (22 Oktober 2003)

Bliebe vielleicht noch zu erwähnen, dass Le_Fix der Gast mit dem 0190-833625-Problem ist.

Gruß
Dino


----------



## Anonymous (22 Oktober 2003)

Veruschka schrieb:   



> Es ist der Dialer der sich ohne ein Zutun die Verbindung zu einer Mehrwertnummer aufbaut und nicht die Telefonnummer.
> Die Netzwelt kannst Du anschreiben, aber es ist die Telekom die von Dir Geld will. Sie wird Dir belegen müssen dass Du willentlich die Verbindung aufgebaut hast und Du auch eine Leistung erhalten hast. "



Aber der Dialer wurde doch offiziel gesperrt weil er sich rechtswidrig verhält. Und die Nummer bzw. der Nummerinhaber benutzt dieses rechtswidrige Programm, um mich abzuzocken. Das sollte doch ebenso strafbar sein und die Nummer deshalb gesperrt werden.   :ritter: 

Das mit der Beweisführung ist eins der oft besprochenenThemen im Forum. Normalerweise muss der Internetnutzer den Nachweis erbringen. Wenn ich die TK aus der Reserve locken und sie mich verklagen, könnte die Beweisführung umgedreht werden. Oder? Da müsste ich mir noch mal ein paar Artikel durchlesen.    :gruebel:


----------



## Shaman (22 Oktober 2003)

*Re: erster Teilerfolg*



			
				Froggi schrieb:
			
		

> :
> Kann ich man eigentlich davon ausgehen, wenn dieselbe Dialerdatei zwei verschiedene Nummern anwählt (eine davon gesperrt), dass man davon ausgehen kann, dass die andere Nummer auch rechtlich nicht in Ordnung ist? Reicht dies als Beweis?
> 
> Gruss
> Froggi



Hi Froggi,

Der Dialer ist illegal und das ist ja seit Juli klar und damit auch die angewählten Nummern. Wenn der Dialer, den du dem BSI zugeschickt hast, die ...830 anwählt, ist ja alles klar.
Ich versteh bloß nicht, wieso du erst jetzt eine Rechnung über die anderen Nummern hast, die ja schon seit Juli abgeschaltet worden sind.
Eigentlich dürfte das doch längst todgelaufen sein. :x 
Schon mal ins Thema teenxxx geschaut? Dort steht noch ne Menge mehr zu diesem Dialer...
Gruß
Shaman


----------



## Froggi (23 Oktober 2003)

Hallo Shaman,

die Dialereinwahl fand bereits am 13.07.03 statt. Hat sich mit Einspruch und Mahnungen der TK bis jetzt alles hinausgezögert. Bin leider nicht früher auf die Idee gekommen, im Internet Hilfe zu suchen.

Gruss 
Froggi
ich mach für heute schluss


----------

