PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Dialerwahnsinn



Houser
31.01.2003, 11:03
Moin, die Woche fängt ja schon gut an :(
Auf einer Workstation war als Startseite die URL http://usa-network.nocreditcard.com eingetragen - Dialer was sonst ...
Interessantes Teil, den kenne ich noch nicht.
In den temporary internet files findet sich eine ieaccess2.cab - Entpackt gibt es eine ieaccess2.dll (mit upx gepackt) und eine ieaccess2.inf
Inhalt:
[version]
signature="$CHICAGO$"
AdvancedINF=2.0
[Add.Code]
IEAccess2.dll=IEAccess2.dll
[IEAccess2.dll]
file-win32-x86=thiscab
clsid={1D2DCA0D-B30F-40AD-9690-087105F214EC}
FileVersion=1,0,3,6
RegisterServer=yes
DestDir=11
Im Windows Verzeichnis gibt es eine Log Datei setupapi.log:
[2003/02/03 xx:xx:xx 1232.1]
Ungültige Befehlszeile: "C:ProgrammeInternet ExplorerIEXPLORE.EXE"
EXE-Name: C:ProgrammeInternet ExplorerIEXPLORE.EXE
Die Datei C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.dll wird nach C:WINNTSystem32IEAccess2.dll kopiert.
Es wurde ein nicht signierter oder falsch signierter Treiber (C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.dll) installiert. Fehler 0x800b0100: Es war keine Signatur im Antragsteller vorhanden.
[2003/02/03 xx:xx:xx 1232.2]
Die Datei C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.inf wird nach C:WINNTDownloaded Program FilesIEAccess2.inf kopiert.
Es wurde ein nicht signierter oder falsch signierter Treiber (C:DOKUME~1enutzerLOKALE~1TempICD1.tmpIEAccess2.inf) installiert. Fehler 0x800b0003: Das für den Antragsteller angegebene Formular wird vom angegebenen Vertrauensanbieter nicht unterstützt oder ist ihm nicht bekannt.
Im Dialer kann ich keine Nummern entdecken.
Auf der Website wird eine 019082952101 promoted - laut regtp COLT Telekom GmbH
kennt jemand diesen dialer ?

Fidul
31.01.2003, 11:39
Frag` mal bei den Spezialisten von http://www.dialerschutz.de/ nach. Die wissen bestimmt mehr.
--
Wir kriegen euch alle!

Houser
31.01.2003, 12:17
tnx - musste colt telekom ein fax schicken wegen §13a TKV, mal sehen ob ich die Info des Betreibers bekomme

Houser
31.01.2003, 14:32
ich glaube es nicht - Update - krank:
hier ein HTML Auszug einer Seite, die der Dialer im Windowsverzeichnis in einem Unterverzeichnis "Egroup" hinterlegt:
im HTML enthalten: proxy=217.110.248.5
Nun habe ich mit Ripe die IP Adresse nachverfolgt und welch Überraschung, wieder Colt Telekom GmbH.
Wenn das stimmt wäre Colt dann für den Dialer[schaden] verantwortlich/direkt haftbar ?

Smigel
01.02.2003, 00:38
Na klar ist das Mistdingens bekannt, lösche mal aus den Internetoptionen unter Inhalt nei Zertifikate den Herausgeber EGROUPS, ansonsten ist das Teil ohne Nachfrage wieder auf dem Rechner drauf.
Jaja sowas von Kundenfreundlich das Teil.

techadmin
01.02.2003, 09:49
Hallo
Den Betreiber dieses Dialers kenne ich recht gut ... auf welche Weise bist du an den gelangt ?
Die Firma auch deren Webmaster betreiben keinen Spam und kämpfen seit Monaten gegen Massiv gegen "Betrügerdialer"
Wenn mir jemand Infos schicken möchte / würde, werde ich mich mit der Firma in Verbindung setzen und das klären ...
meine Email Adresse: admin [at] ish-network.de
MoD

dvill
01.02.2003, 10:31
Die Firma auch deren Webmaster betreiben keinen Spam und kämpfen seit Monaten gegen Massiv gegen "Betrügerdialer"
Kleiner Tipp am Rande: Wahrscheinlich spammt die Konkurrenz für ihn ...
Ein Dialeranbieter benötigt für den Verbraucher eine Kontaktadresse in den AGBs für Rückfragen, Beschwerden usw. Für die Mehrbetrugsnummern sind zwingend bei der RegTP bekannte Anbieterkürzel erforderlich, soweit ich dies weiß.
Wohnt der Anbieter anonym in einem Postfach oder warum kann man hier nicht einfach diese bekannte Kontaktadresse angeben?
Dietmar Vill

Houser
01.02.2003, 13:03
Der Dialer kam von einer Website http://usa-network.nocreditcard.com, die
sich laut Ad-Aware mit einem "Browser hijack attempt Object" als Startseite
in den Internetexplorer "eingeklinkt" hatte.
Da auf unseren NT 4 Workstations der RAS Dienst/das DFÜ Netzwerk nicht
installiert ist, konnte er sich wohl "nur halb" installieren (meldete "please install a Modem")
Trotzdem hatte sich das Sicherheitszertifikat installiert - allein "Dieses Zertifikat ist sicher" argh.
Ich habe den Rechner gestern lieber mit einem frischen Clone Image versehen, Vorsicht ist besser als Nachsicht.
Das Firewall Logfile zeigt mir aber, dass dieser Dialer via http get (port 80) versucht hat, sich zu updaten oder ET Dialer will nach Hause telefonieren.
Eine seriöse Software ist dass jedenfalls nicht, es werden folgende Prozesse erkannt und wenn möglich abgeschossen:
SYMPROXYSVC.EXE SMC.EXE PERSFW.EXE AGENTW.EXE ZONEALARM.EXE BLACKICE.EXE WINTRIMS.EXE WINTRIM.EXE usw.

dvill
01.02.2003, 13:11
Da paßt das ja gut, dass hier jemand den Ersteller gut kennt. Wenn der auch selbst ein wenig schüchtern ist und hier nicht persönlich mit den Kontaktdaten genannt werden darf, wird unser Mittelsmann doch bestimmt gerne stellvertretend eine Erkärung für die besondere Arbeitsweise abgeben wollen.
Da sind wir doch alle mal sehr gespannt ...
Dietmar Vill

Houser
01.02.2003, 15:28
Eben ;) und dann kann mir der nette Hersteller doch bestimmt auch erklähren, warum dieses ach so harmlose Programm Ras Dlls angreift, auf dem Rechner kam eine Fehlermeldung hoch "Einstiegspunkt in rasui.dll nicht gefunden", was vorher nicht war, d.h. da ist etwas manipuliert/ausgetauscht worden, da die Dll einen anderen Filestamp hatte, als die von Service Pack 6a.
Warum im EGROUP Verzeichnis php.3 Seiten sind, wohl ein lokaler Cache der Website, der dann wohl eine fake connection anzeigt, wäre auch mehr als interessant
Oder die Dialerhersteller sind schon schneller als Micro$oft und supporten NT 4.0 nicht mehr ?
Noch etwas: Die Workstation wurde von einer MitarbeiterIN verwendet und es ist auszuschließen, dass diese Person "Schmuddelseiten" angesurft hat, weiterhin war noch searchbar.findthewebsiteyouneed.com neben der usa-network.nocreditcard.com eingetragen ...
Colt hat immer noch nicht die Daten rausgerückt, nach einem Anruf konnte man angeblich nicht auf die Datenbank zugreifen und sie hätten gar so viel zu tun und keine Zeit (vertröst, vertröst)
Wie schnell müssen sie nach §13a TKV reagieren ?

Dotshead
01.02.2003, 21:36
Wenn ich einem aus der Dialergesellschaft glaube, ist es Techadmin.
Lasst ihn doch erstmal gucken, was er rausbekommt, bevor ihr auf ihn einschlagt.
Grüsse aus ME

Dots

andreas27
03.02.2003, 10:20
Eben ;) und dann kann mir der nette Hersteller doch bestimmt auch erklähren, warum dieses ach so harmlose Programm Ras Dlls angreift, auf dem Rechner kam eine Fehlermeldung hoch "Einstiegspunkt in rasui.dll nicht gefunden", was vorher nicht war, d.h. da ist etwas manipuliert/ausgetauscht worden, da die Dll einen anderen Filestamp hatte, als die von Service Pack 6a.


Hallo Houser,
FYI:
RASUI.DLL ist normalerweise eine DLL von HP Hardware-Treibern (Drucker, Scanner...). Hat also mit Dialern nix zu tun.
Liebe Grüsse,
Andreas

Houser
03.02.2003, 13:06
Sorry hatte mich verschrieben, die betroffene DLL war "%systemroot%system32
asddui.dll" und die gehört zum RAS Sybsystem von NT 4.0 Build 1381 - der Rechner wurde neu gecloned, d.h. mit einer frischen Systempartition von der Masterplatte versehen.
Wer haftet eigentlich für solche nicht gewollten Eingriffe ins Betriebssystem ?
Der Dialer war ja wohl nicht NT 4.0 kompatibel und hat sich durch dieses "Sicherheitzertifikat" eingeschlichen.
Es fällt ja ein gewisser Arbeitsaufwand für den Administrator an.
Ich muss wohl jede Workstation mit YAW und AD-Aware Pro ausstatten, Personal Firewall und AV-software (redundant) ist ja schon drauf, aber siehe nächsten Punkt:
Ich finde IMHO die Dinger immer heftiger, Personal Firewalls abschiessen, IE patchen, RAS und DUN patchen ...
Für mich ist das einfach nur Malware mit Trojanerfunktionalitäten und bei Viren wurde auch abgeschaut.
Mit UPX werden sie ja auch gepackt, um den Inhalt zu verschleiern, warum nur wenn es sich um ganz normale Software handeln soll ?!
Schade, dass die Antivirenprogramme nicht dagegen vorgehen dürfen, denn es handelt sich ja angeblich um "seriöse" Software.
So "seriös", dass man sich dagegen schützen muss und der Schutz dann wieder umgangen wird, ein ewiger Wettlauf.
Die Programmierer sollten Ihre Energie doch besser in vernünftige Projekte stecken !