# trojan.RASDialer



## Stefanschusser (1 Oktober 2004)

Ich habe heute einen Virencheck gemacht und dan hat Norton den Virus trojan.RASDialer gefunden! Ich bekomme den Virus nicht mehr weg ich bitte um hilfe!!


----------



## Aka-Aka (1 Oktober 2004)

http://forum.computerbetrug.de/viewtopic.php?p=76975

viel Glück


************
************
der Rest hat nicht viel mit deinem Problem zu tun...
additional researches from the cicojore research team (zu ignorieren für Betroffene ohne Hang zu temporärem Irrsinn)

1.) In den Symantec-Information wird eine IP erwähnt: 69.**.**.**, wenn man nach dieser IP googelt, findet man einen Hinweis auf eine Spam-Seite, die als nameserver eine domain hat, die - wie sollte es anders sein - bei Herrn Jore registriert war.

2.) googlet man nach "trojan.rasdialer", findet man einen Link:
Trojan.RASDialer - [ Diese Seite übersetzen ]
Trojan.RASDialer Life is Beautiful virus Like most hoaxes, it claims anti­virus firms "are not capable of de­stroying it" and it urges you to "make a copy of ...
www.self-destr***.com/cat/320460 - Ähnliche Seiten

wenn man diesen link aufruft, wird man kurz zu zwei interessanten Dialernetzwerken geschickt: "nocreditcard" und "futuredialer"

Diese komische domain gehört (aus dem Gedächnis wiedergegeben) Dreamgroup, POB 2331, St. George, Roseau 00152, Dominica.

Dass dieses Ergebnis nichts mit diesem speziellen Trojaner zu tun hat, erkennt man daran, dass, wenn man nach der oben erwähnten Textpassage "Life is beautiful virus like most hoaxes" googlet, dies zu 260 Fundstellen führt, von denen viele, aber nicht alle, ebenfalls der "dreamgroup" gehören und, falls dies der Fall ist, zu nocreditcard und/oder futuredialer führen bzw. kurz dort vorbeischauen.


----------



## Anonymous (1 Oktober 2004)

was man alles aus einer harmlosen Meldung machen kann...

Nachtrag 20:43
zum Thema ncc/futuredialer 

"vorbeischauen" ist gut... wenn ich den ganzen Weg per ping-pong nachzeichne (von IE in javalosen Mozilla und zurück), erkennt man, dass der Einwahllink von futuredialer direkt zu nocreditcard führt, letztlich dort landend, siehe Bild. Futuredialer, zur Erinnerung, veröffentlichte mal eine Nachricht der Firma "Dialacom" (siehe www.dialacom.de ) aus Kopenhagen (Gaza Media), dass es Ärger gäbe mit den bösen deutschen Telcos...

s.a.
http://futured***.com/salestools.shtml?fd

s.a.
h**p://ynotnews.ynotmasters.com/issues/062603/page5.html
(Interview mit J.D. von der Firma "Future Dialer"... Eine Eigenwerbung für seinen "Next Generation Dialer"... Bei NGD denke ich immer an popup und ccl, zu deren _zahlungsmethoden _ auch ein "2003er NextGen-Dialer" gehört, den dann eine VPE Ltd. abrechnet... oder mal ein Dialer über 090090000012 oder 090090000922 oder eben auch mal ein Dialer über - na hoppla - 090090000548  uii, sogar mit gleichem hashwert...

Den Dialacom-Dialer bringe ich immer in Verbindung mit Buxomatic (PC-Kindersicherung, MDI Sevilla). Das stimmt, auch, denn die IPs sind identisch. Buxomatic wiederum hat eine deutsche Adresse (dänischer Admin aus Bayern, selber hoster wie Gaza Media), die man (Werbelink) auf der Werbeseite der Hamburger Schmuddelmesse bestaunen kann (awm-ev***.de). Das meiste an Information dazu ist aber russisch (zB bei luxuru - eine weitere "Herr Jore"-Seite mit Hinweisen Richtung Zypern, letztlich landet man auf einer weiteren "Herr Jore"-Seite).

Der Gaza-Dialacom-Buxomatic-Dialer wurde zuletzt von einer Seite beworben, die nach Belize führt (05.27.04 We added great DE dialer to our program - BUXOMATIC! 8EUR PER CALL! ) (Icommerce Sol. SA). Buxomatic ist die nette Firma, die sich einen Dreck schert um deutsche Gesetze, zwischenzeitlich hiess das mal "Greatdialer" (


----------



## Aka-Aka (2 Oktober 2004)

@mods:
Ich nehme nicht an, dass diesem Zeugs da noch jemand folgen kann...
Aber diese Sache (wenn sie auch nichts mit dem trojan.rasdialer zu tun haben dürfte) gehört vielleicht in die Rubrik "Zufallstreffer".

Denn:
1. diese komische Firma dreamgroups (admin: A* J*) besitzt offenbar sehr viele domains, ich habe jetzt vielleicht 40 oder 50 überprüft, die hatten größtenteils die links zu futuredialer/ncc drin. Wer will, dem kann ich gerne eine Liste schicken... 

2. Höchst spekulativ: Die meisten dieser URLs haben einen Titel in der Titelleiste, der nicht zur Seite passt. Ok, das passiert öfter. Aber ich habe hier mal eine Auswahl:
aristasoft (offenbar ein software joint-venture USA/Indien) = musica3
afro-caribbeancenter --> kazaa
artcompass --> musica4

awmpoint-->fondos
biofinance2002-->musica4
billydance-->descargas
cdesignet-->ukiconos

dobrzewiesz-->ukiconos
deltron-inc (deltroninc: Hersteller v. PC-Netzteilen?) --> ukdescargas
discount-baby-jogging-strollers --> tablaturas
firmen-im-netz-->lyrics en
floridagolfvacations-->descargas

mit diesen Begriffen kann man munter experimentieren:
wenn man "ukiconos" bei google eingibt, findet man mehrere links (Seiten einer Marketingfirma aus Singapur, "probiz"), die das selbe bewirken, wieder Seiten mit futuredialer plus ncc nach einer Weiterleitung auf eine Seite, deren Inhaber wieder die "dreamgroup" ist, was dann zu einer weiteren IP führt, IP ähnlich wie zuvor, wieder 1000 domains, wieder das gleiche Spiel - offenbar haben die ziiiiemlich viele domains 

Warum sind eigentlich die meisten Seitentitel spanisch??? 

Und dann aber das: Suche nach dem Seiteninhaber ergibt:
kann hier jmd russisch?

Имя: A*J*

Дата: 17/12/2002
Страна: Доминика
Город: Roseau, Commonwealth of Dominica, West Indies.
Телефон: Контактный телефон консультанта в Санкт-Петербурге: (812) 909-44-**, (921) 909-44-**.
Электронная почта(E-mail): [email protected]***.ru
Наша корпорация - это объединение активных участников, будущих и состоявшихся предпринимателе&#108 1;, бизнесменов. Мы предлагаем эффективные методы получения доходов, используя глобальные возможности сети Интернет. Организационная форма корпорации - интерактивная рабочая система. Для участников предлагаются следующие возможности: - открытие личных магазинов с оговариваемой функциональност&#110 0;ю И партнерскими программами, - открытие систем многоуровневых продаж с оговариваемой функциональност&#110 0;ю - класса B2B, B2C, - предоставление коммерческого хостинга с доменом второго уровня для вышеуказанных целей, - предоставление услуг страхования сделок с клиентами (Money Back Guarantee), - прием платежей у Ваших клиентов. При регистрации не забывайте об указании ПРОМО-КОДА(1625), если он не прописался автоматически. После регистрации Вам будет направлено письмо с дальнейшими инструкциями.

Des Rätsels Lösungs Sackgassenschild steht dieses Mal hier:
http://offshore-dominica.ru/contact.html
bzw.  hier (englisch) 

Des Russischen oder Moldawischen mächtige Personen können da natürlich munter weiter suchen, z.B. über die Firma "OKI ltd", die auf einer moldawischen Seite erwähnt wird (da steht Доминикский - müsste dominikanisch heissen, nicht Domrep, Dominica ist c&w-Zone) mit einem link zu
http://www.offshoreservice.r*/ (W*W*B*). Gehostet in Texas, laut Heiko-whois gehört eine IP dazu, die laut webhosting-whois zur domain bereznev.c** gehört, die einer gleichnamigen Firma in Riga gehört.

Wer nicht russisch kann, dem empfehle ich diesen link:
http://www.ibcsonline.com/in.htm

der Name der Seiteninhaberin taucht in einer anderen Liste von offshore-Unternehmen wieder auf
http://www.offshoreon.com/showservprovq.asp?juris=Dominica (bei der ersten offshore-Firma). Alles das selbe, irgendwie.

unglaublich...


----------



## Anonymous (3 Oktober 2004)

Die oben gennanten Seiten enthalten also links, die alle zu dem EINEN dialer unter 090090000548 führen. Aber was ist mit dem anderen? Hmm.

*Themensprung*

Viel Ärger gibt es unter den deutschen AWMs derzeit durch einen Streit zweier AVS-Anbieter. Einer von denen vertritt das AVS-Portal www.unter81.de (oder so ähnlich). Dort befindet sich auf der rechten Seite unter "Linktipps" ein link zu einer Seite "junge teenies" (das soll mir mal einer erklären, wie junge teenies 18 sein sollen?). Der Link führt einen über 
http://pp*c.de/abo.php?ID=***&SUB=18&WEB=2 zu einer Pornoseite mit Abozuang. Das macht dann ein gewisser J.F.

Ich wollte kucken, wie die Weiterleitung gemacht wird, denn die Seite heisst:
http://abo2.junge-m*.de/?ID=***&SUB=18
und das ist ja was anderes als pp*c 

(Außerdem scheint "abo" darauf hinzudeuten, dass es auch andere Zugangsmöglichkeiten gibt)

Naja, dann habe ich mal den link einfach so eingegeben, www.pp*c.de und schon landete ich bei einer anderen jungen maus.
Die "kostenlose camsoftware" interessierte mich dann doch...
Mozilla wollte aber nicht, ohne java. IE hatte Bock, diesmal auf ein kostenloses plugin...

und jupp, da war er...
http://download.afen***.de/cgi-bin/autoinstall?hdid=*** --> der "andere" der 090090000548-Dialer. Mit dem Verhalten, dass mich  hier  schon so geärgert hat (Wollen Sie zulassen, dass aus ihrer Zwischenablage...).

Dieser 090090000548-Dialer taucht hier und dort und so oft auf, aber nie gibt es Beschwerden. Dabei ist er doch nullo besser als all die Dialer, denen die Registrierung entzogen wurde. Wenn ich Consul-Info wäre, würde ich mich da mal ordentlich beschweren. Ist doch unfair, so was...


----------



## Aka-Aka (3 Oktober 2004)

Stefanschusser schrieb:
			
		

> Ich habe heute einen Virencheck gemacht und dan hat Norton den Virus trojan.RASDialer gefunden! Ich bekomme den Virus nicht mehr weg ich bitte um hilfe!!


Also mal wieder zurück zum trojan.rasdialer

Das scheiont was mit dem ieloader des GN-Dialer zu tun zu haben. Wenig sachdienliches, aber viel Brimborium von _interessanten_ Leuten gibt's hier:
 im dialercenter-Forum


----------

