Dialerwahnsinn

[Houser]

Moin, die Woche fängt ja schon gut an :(
Auf einer Workstation war als Startseite die URL http://usa-network.nocreditcard.com eingetragen - Dialer was sonst ...
Interessantes Teil, den kenne ich noch nicht.
In den temporary internet files findet sich eine ieaccess2.cab - Entpackt gibt es eine ieaccess2.dll (mit upx gepackt) und eine ieaccess2.inf
Inhalt:
[version]
signature="$CHICAGO$"
AdvancedINF=2.0
[Add.Code]
IEAccess2.dll=IEAccess2.dll
[IEAccess2.dll]
file-win32-x86=thiscab
clsid={1D2DCA0D-B30F-40AD-9690-087105F214EC}
FileVersion=1,0,3,6
RegisterServer=yes
DestDir=11
Im Windows Verzeichnis gibt es eine Log Datei setupapi.log:
[2003/02/03 11:08:08 1232.1]
Ungültige Befehlszeile: "C:ProgrammeInternet ExplorerIEXPLORE.EXE"
EXE-Name: C:ProgrammeInternet ExplorerIEXPLORE.EXE
Die Datei C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.dll wird nach C:WINNTSystem32IEAccess2.dll kopiert.
Es wurde ein nicht signierter oder falsch signierter Treiber (C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.dll) installiert. Fehler 0x800b0100: Es war keine Signatur im Antragsteller vorhanden.
[2003/02/03 11:08:08 1232.2]
Die Datei C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.inf wird nach C:WINNTDownloaded Program FilesIEAccess2.inf kopiert.
Es wurde ein nicht signierter oder falsch signierter Treiber (C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.inf) installiert. Fehler 0x800b0003: Das für den Antragsteller angegebene Formular wird vom angegebenen Vertrauensanbieter nicht unterstützt oder ist ihm nicht bekannt.
Im Dialer kann ich keine Nummern entdecken.
Auf der Website wird eine 019082952101 promoted - laut regtp COLT Telekom GmbH
kennt jemand diesen dialer ?

[Fidul]

Frag` mal bei den Spezialisten von http://www.dialerschutz.de/ nach. Die wissen bestimmt mehr.
--
Wir kriegen euch alle!

[Houser]

tnx - musste colt telekom ein fax schicken wegen §13a TKV, mal sehen ob ich die Info des Betreibers bekomme

[Houser]

ich glaube es nicht - Update - krank:
hier ein HTML Auszug einer Seite, die der Dialer im Windowsverzeichnis in einem Unterverzeichnis "Egroup" hinterlegt:
im HTML enthalten: proxy=217.110.248.5
Nun habe ich mit Ripe die IP Adresse nachverfolgt und welch Überraschung, wieder Colt Telekom GmbH.
Wenn das stimmt wäre Colt dann für den Dialer[schaden] verantwortlich/direkt haftbar ?

[Smigel]

Na klar ist das Mistdingens bekannt, lösche mal aus den Internetoptionen unter Inhalt nei Zertifikate den Herausgeber EGROUPS, ansonsten ist das Teil ohne Nachfrage wieder auf dem Rechner drauf.
Jaja sowas von Kundenfreundlich das Teil.

[techadmin]

Hallo
Den Betreiber dieses Dialers kenne ich recht gut ... auf welche Weise bist du an den gelangt ?
Die Firma auch deren Webmaster betreiben keinen Spam und kämpfen seit Monaten gegen Massiv gegen "Betrügerdialer"
Wenn mir jemand Infos schicken möchte / würde, werde ich mich mit der Firma in Verbindung setzen und das klären ...
meine Email Adresse: admin@ish-network.de
MoD

[dvill]

Die Firma auch deren Webmaster betreiben keinen Spam und kämpfen seit Monaten gegen Massiv gegen "Betrügerdialer"

Kleiner Tipp am Rande: Wahrscheinlich spammt die Konkurrenz für ihn ...
Ein Dialeranbieter benötigt für den Verbraucher eine Kontaktadresse in den AGBs für Rückfragen, Beschwerden usw. Für die Mehrbetrugsnummern sind zwingend bei der RegTP bekannte Anbieterkürzel erforderlich, soweit ich dies weiß.
Wohnt der Anbieter anonym in einem Postfach oder warum kann man hier nicht einfach diese bekannte Kontaktadresse angeben?
Dietmar Vill

[Houser]

Der Dialer kam von einer Website http://usa-network.nocreditcard.com, die
sich laut Ad-Aware mit einem "Browser hijack attempt Object" als Startseite
in den Internetexplorer "eingeklinkt" hatte.
Da auf unseren NT 4 Workstations der RAS Dienst/das DFÜ Netzwerk nicht
installiert ist, konnte er sich wohl "nur halb" installieren (meldete "please install a Modem")
Trotzdem hatte sich das Sicherheitszertifikat installiert - allein "Dieses Zertifikat ist sicher" argh.
Ich habe den Rechner gestern lieber mit einem frischen Clone Image versehen, Vorsicht ist besser als Nachsicht.
Das Firewall Logfile zeigt mir aber, dass dieser Dialer via http get (port 80) versucht hat, sich zu updaten oder ET Dialer will nach Hause telefonieren.
Eine seriöse Software ist dass jedenfalls nicht, es werden folgende Prozesse erkannt und wenn möglich abgeschossen:
SYMPROXYSVC.EXE SMC.EXE PERSFW.EXE AGENTW.EXE ZONEALARM.EXE BLACKICE.EXE WINTRIMS.EXE WINTRIM.EXE usw.

[dvill]

Da paßt das ja gut, dass hier jemand den Ersteller gut kennt. Wenn der auch selbst ein wenig schüchtern ist und hier nicht persönlich mit den Kontaktdaten genannt werden darf, wird unser Mittelsmann doch bestimmt gerne stellvertretend eine Erkärung für die besondere Arbeitsweise abgeben wollen.
Da sind wir doch alle mal sehr gespannt ...
Dietmar Vill

[Houser]

Eben ;) und dann kann mir der nette Hersteller doch bestimmt auch erklähren, warum dieses ach so harmlose Programm Ras Dlls angreift, auf dem Rechner kam eine Fehlermeldung hoch "Einstiegspunkt in rasui.dll nicht gefunden", was vorher nicht war, d.h. da ist etwas manipuliert/ausgetauscht worden, da die Dll einen anderen Filestamp hatte, als die von Service Pack 6a.
Warum im EGROUP Verzeichnis php.3 Seiten sind, wohl ein lokaler Cache der Website, der dann wohl eine fake connection anzeigt, wäre auch mehr als interessant
Oder die Dialerhersteller sind schon schneller als Micro$oft und supporten NT 4.0 nicht mehr ?
Noch etwas: Die Workstation wurde von einer MitarbeiterIN verwendet und es ist auszuschließen, dass diese Person "Schmuddelseiten" angesurft hat, weiterhin war noch searchbar.findthewebsiteyouneed.com neben der usa-network.nocreditcard.com eingetragen ...
Colt hat immer noch nicht die Daten rausgerückt, nach einem Anruf konnte man angeblich nicht auf die Datenbank zugreifen und sie hätten gar so viel zu tun und keine Zeit (vertröst, vertröst)
Wie schnell müssen sie nach §13a TKV reagieren ?