[UCE/Interfun-Dialer] Für Dich ! schau doch mal hier :-)

[Arne01]

subject angepasst, Eniac

Info!<<<
für Dich:-))))
Du solltest es Dir anschauen: Klick Hier!

X-Hd:
[Link nur für registrierte Mitglieder sichtbar. ] Mon Mar 03 10:55:53 2003
Return- path:
< [Link nur für registrierte Mitglieder sichtbar. ]>
Envelope- to:
[Link nur für registrierte Mitglieder sichtbar. ]
Delivery- date:
Mon, 03 Mar 2003 10:50:12 +0100
Received:
from [217.59.60.202] (helo=mail.worldnet.att.net) by mxng15.kundenserver.de with smtp (Exim 3.35 #1) id 18pmaH-0002xa-00 for [Link nur für registrierte Mitglieder sichtbar. ]; Mon, 03 Mar 2003 10:50:10 +0100
Received:
from [240.77.205.228] (helo=mail.worldnet.att.net)
Von:
"tina" < [Link nur für registrierte Mitglieder sichtbar. ]>
An:
"Interessierten !" < [Link nur für registrierte Mitglieder sichtbar. ]>
Reply-To:
[Link nur für registrierte Mitglieder sichtbar. ]
Betreff:
Für Dich ! schau doch mal hier :-)
X-Mailer:
Microsoft Outlook Express 5.00.2919.6900DM
MIME- Version:
1.0
Content- Type:
text/html; charset="iso-8859-1"
Message-Id:
< [Link nur für registrierte Mitglieder sichtbar. ]>
Datum:
Mon, 03 Mar 2003 10:50:10 +0100

Zieladresse ist ://malina.tripod.com.ar/lola.txt?sid=10070F1629470B000D095C15100A00160A045D520048425E01475A5B594D5241524 61D5A5E514F

[Arne01]

nachdem ich eine Bounce-Mail gesendet habe bekam ich die Mail nochmal.(Jetzt mit Schreibfehler) Sollte ich hier die Zieladresse nicht posten ?? Ist die Zieladresse zugeordnet ?

X-Hd:
[Link nur für registrierte Mitglieder sichtbar. ] Mon Mar 03 11:51:09 2003
Return-path:
< [Link nur für registrierte Mitglieder sichtbar. ]>
Envelope-to:
[Link nur für registrierte Mitglieder sichtbar. ]
Delivery- date:
Mon, 03 Mar 2003 11:40:12 +0100
Received:
from [217.59.60.202] (helo=mail.worldnet.att.net) by mxng04.kundenserver.de with smtp (Exim 3.35 #1) id 18pnMf-0002CK-00 for [Link nur für registrierte Mitglieder sichtbar. ]; Mon, 03 Mar 2003 11:40:10 +0100
Received:
from [254.179.201.81] (helo=mail.worldnet.att.net)
Von:
"tina" < [Link nur für registrierte Mitglieder sichtbar. ]>
An:
"Interessierten !" < [Link nur für registrierte Mitglieder sichtbar. ]>
Reply-To:
[Link nur für registrierte Mitglieder sichtbar. ]
Betreff:
Für Dich ! schau doch mal hier :-)
X-Mailer:
Microsoft Outlook Express 5.00.2919.6900DM
MIME-Version:
1.0
Content-Type:
text/html; charset="iso-8859-1"
Message-Id:
< [Link nur für registrierte Mitglieder sichtbar. ]>
Datum:
Mon, 03 Mar 2003 11:40:10 +0100

Info!<<<
für Dich:-))))
Das solltes Du Dir anschauen: Klich Hier!

[dvill]

Die Nummer nach "sid=" ist von Bedeutung, um den Nutznießer Interspam zu finden. Bei Netscape und Mozilla passiert nix, bei IE findet man das unter
mitglied.lycos.de/dvill/interspam030303
Abgelegte, wenn man Interspam NICHT vertraut. Installiert habe ich den Dreck nicht.
Zwei Punkte sind bemerkenswert:
1) In der sid-Nummer wird etwas verschlüsselt, mindestens der Hauptstörer, eventuell auch die Empfängeradresse als "Lesebestätigung". Die Auflösung des Schlüssels liegt eindeutig auf dem Interspam-Server. Wenn der Mitstörer die "Lesebestätigung" für seine Spammer überprüft, läßt sich eine konkrete Zusammenarbeit nachweisen. Dort müßte mal die Kripo die Logfiles sicherstellen.
2) Das VideoPlugin installiert sich ohne besondere Kostenangabe. Der Hinweis auf das Anbieterkürzel mit Kostenangabe ist für Mehrbetrugsdienste vorgeschrieben. Die Kosten tauchen hier nur in einer ellenlangen, gesondert aufzurufenden AGB in Mehrdeutigkeit auf. Das ist hoffentlich hinreichend unzureichend.
Dietmar Vill

[Houser]

Vorsicht, dass ist wieder der IE Abschiess-Dialer
http://www.media18.de/spezial/wmactive.exe [Titan]
Neue Infos über den Dialer: - meine Kommentare in []
Ist in Delphi geschrieben: SOFTWAREBorlandDelphi
Wählt auch mal wieder die Vorwahl von der Nummer 01019 01929
Ein Service der Interfun GmbH - Edertal - [nun darauf können wir verzichten !]
http://www.webmasterinfos.de
http://www.interfun.de/livecam.html
http://dial.interfun.de/quasi.htm?
Auch eingebaut:
Connection Watch 1.2 von My Channel Multimedia , Gennadiy Beliavskiy
Hat sogar eine OS Testroutine:
OS: ProductName
SOFTWAREMicrosoftWindows NTCurrentVersion
SOFTWAREMicrosoftWindows MECurrentVersion
SOFTWAREMicrosoftWindowsCurrentVersion
Fehler in der Software?
Bitte folgenden Fehlercode (interne Fehlerbezeichnung) an uwe@interfun.de mailen. Vielen Dank!!
Ihr Fehlercode lautet: c:debug.txt
[Die ganze Software ist ein einziger Fehler ...]
Hinweis Da Sie unser Angebot nicht vollständig genutzt
haben war diese Einwahl für sie kostenfrei und wird
demnach auch nicht auf Ihrer Telefonrechnung erscheinen.
[wers glaubt ... ]
Interfun Möchten Sie gerne weitersurfen? [Klar aber ohne euren $%&/ Dialer]
Öffne Webseite... DIALERFENSTER Static Bitte warten! Das Angebot lädt...
The Webcam - 20 Euro pro Einwahl plus 2 Euro pro Min - (01938775021 - Interfun) DIALERFENSTER The Webcam - EUR 1,86 / Minute / 0190826395 (Interfun GmbH)
Die "The Webcam" - Erweiterung (für Internet-Explorer und Netscape-Browser) ermöglicht es Ihnen, Live Dialoge im Internet zu führen. Sie benötigen keine eigene Webcamera um an der Diskussion teilzunehmen (sofern Sie eine solche besitzen können Sie diese jedoch zu jedem Zeitpunkt zuschalten, so dass Sie auch gesehen werden können). Drücken Sie auf "Weiter" um die Chat-Einladung ihres Gesprächspartners anzunehmen. Willkommen bei "The Webcam" Jemand hat Sie auf diese Seite geschickt, um sich mit Ihnen online über seine angeschlossene Internet-Camera zu unterhalten. Ihr Gesprächspartner wartet bereits. Weiter >>> Seite anzeigen
0 Euro pro Einwahl plus 2 Euro pro Min - (01938775021 - Interfun GmbH)
EUR 1,86 pro Min (Interfun GmbH)
http://dial.interfun.de/warten.htm?
[Prust die Seite ist ql, haben es nicht so mit der Rechtschreibung ...
Die Seite wird geladen...
bitte haben Sie einen Augenblick gedult...
was wirklich passiert: <script language=`javascript`
src=`http://server.iad.liveperson.net/hc/1949...19496854&catego
ry=en;liveperson;1`>]
476666667 http://217.69.237.132/hc.htm?id=win
horst- @interfun.de horst 44 09099671147 011002394413600
http://217.69.237.132/hc.htm?id=ccod:
Willkommen!
Ihr Gesprächspartner wartet im Chatraum...
Lade.. Bitte warten Es wird bereits gewählt.
Deinstallieren? Möchten Sie dieses Programm wirklich für immer löschen? SoftwareMicrosoftWindowsCurrentVersionRun Internet Connection Software
[JaJaJa !]
Die Datei löschen Sie bei Bedarf (nach einem Neustart Ihres Systems) bitte selbst. [Faule De-installroutine]
DisplayName SOFTWAREMicrosoftWindowsCurrentVersionUninstallYet Another Warner_is1
[SoSo JAW fliegt auch raus ...]
SOFTWAREMicrosoft http://217.69.237.132/hc.htm?id=nocod

[Wir hacken uns mal schnell als IE Startseite ein]
EUR 47,45 DM 92,80
[Wie letztes Mal schon bemerkt - The Webcam - 20 Euro pro Einwahl plus 2 Euro pro Min -
Jetzt sinds schon 47,45 Euronen ... Betrug !!!!!!!!!]
Um eine störungs- bzw. unterbrechungsfreie Nutzung unserer Inhalte zu gewährleisten werden Programme, die auf spezielle Funktionen der RAS API zugreifen geschlossen. Dies dient dem Zweck, dass nicht
versehentlich 2 parallele kostenpflichtige Verbindungen hergestellt sind und es nicht zu ungewollten Verbindungsabbrüchen bei Pauschalzugängen kommt.
[Auf Deutsch a) ich will der einzige Dialer im System sein
b) ich heble auch noch alle Schutzprogramme/Warner aus ]
0190826395 EUR 1,86 Minute Stunde [wie jetzt - DMTS AG ...]
Nach einer Minute wird die Verbindung automatisch getrennt.
[wie nach einer Minute, um sich dann wieder anzuwählen ?]
Interfun.exe Meine heisse Privatseite Meine sexy Privatseite mit vielen Bildern u. Videos!!! http://con.dr.ag  if-839  68630  if-837  7b624  if-838  20003
0190821709
0190821671
0190821959 G 20 Euro pro Einwahl plus 2 Euro pro Min - (01938775021 - Interfun GmbH)  01938775021  EUR 1,86 pro Min (Interfun) 476666667  http://hot-x-chat.bl.am 
Ja Super! Unser heisser Livechat wird gleich geladen!
Dort triffst Du viele Freunde und super Bekanntschaften!
Achtung: dieser Chat kann süchtig machen ;-)
0190821709 DMTS AG
0190821671 DMTS AG
0190821959 DMTS AG
V I E L S P A S S B E I D E R U N T E R H A L T U N G
Wollen Sie den Chat jetzt betreten? œ Wenn Sie diese Option wählen beendet sich das Plugin
OHNE das eine Einwahl stattfindet (und sich unser Chat öffnet).
Möchten Sie das Plugin jetzt beenden? K Möchten Sie nicht villeicht doch mal in unsere heissen Angebote schnuppern?  Sexy Angebote? / ` Live-Dating Chat für erotische Kontakte ChatModul 1.1 /  Webcam Chat
x  conflict  SYSTEM BeachCity.lnk .lnk  /tray SoftwareMicrosoftWindowsCurrentVersionRun  ses|d:

|  @interfun.de  pm
[  ].lnk & http://dial.interfun.de/direct.php?id=  &con= ) http://dial.interfun.de/activeurl.php?id= % &url=http://dial.interfun.de/chat.htm  iexplore.exe  netscape.exe
jasuper2:nein Ja Super! Du kommst jetzt automatisch auf unsere heisse Chatseite!
Bitte hab einen Moment Geduld!  jasuper1:ja EUR 1,86 pro Min (Interfun)  if-149@interfun.de  654321  if-1998@interfun.de  3daf7  http://www.beachcity.de ?DIALERFENSTER tray KERNEL32.DLL RegisterServiceProcess  error p Live - Plugin 1.0
----------------------
Willkommen zum Live - Plugin 1.0 für Internet Explorer und kompatible Browser. Mit der Aktivierung der Live-Plugin-Erweiterungen akzeptieren Sie unsere AGB (einzusehen auf http://dial.interfun.de/agb.php). Durch diesen Aktivierungsprozess (mit dem "OK" - Button) haben Sie Zugriff auf die Online-Inhalte der Interfun GmbH (derzeit bestehend aus einem erotischen LiveChat). Des weiteren bestätigen Sie den Verbindungspreis von EUR 47,45 pro Einwahl in den LiveChat - Content bei einer maximalen Nutzungsdauer von 1 Std. Nach Ablauf dieser Zeit ist eine erneute Einwahl notwendig.
[und wieder digital Signiert von: server-certs@thawte.com Thawte Consulting]
I n t e r n e t L i v e 1 . 0 P l u g i n f ü r I n t e r n e t E x p l o r e r
----
Beachcity ist wohl noch nicht vergeben, bauen wohl für die Zukunft vor
- Los reservieren wir uns die Domain :)))))

Zum Link http://hot-x-chat.bl.am
BL.AM ist ein kostenloser stabiler und sicherer szene subdomain service.
subdomains 4 free - anmeldung in 1 minute und sofort einsatzbereit !
[[ Distanzierung: wir betreiben KEINEN SPAM ! ]]
&copy; Copyright 2000-2002 by hyro-mediaservice e.K. - HRA 1174 - Amtsgericht Schwäbisch Gmünd
Inhaber: Jörg Dudzinski - Spitzäckerstraße 12 - D-73527 Schwäbisch Gmünd
USt-IdNr: DE213729647 - Fax: +49 (0)7171 999 749 - Fon: +49 (0)7171 999 747 - eMail: ceo@traffichome.com
http://hyro.de/
Nun welch Überraschung -
http://www.sexlaune.com/content1/index.php
Impressum:
Interfun GmbH
Küferstrasse 6
D-34549 Edertal
0049 (0)5623 935027
0049 (0)5623 935029
info@interfun.de

Soso ... und Hackerspider poppt auch auf ...

[Eniac]

URLs aus dem Dialer:

[Link nur für registrierte Mitglieder sichtbar. ] --> Ist das das eigentliche Ziel des Dialers?

[Link nur für registrierte Mitglieder sichtbar. ] (?)
inetnum: 217.69.230.0 - 217.69.237.255
netname: MARIDAN
descr: Maridan Service GmbH
descr: Internet Presence Provider
descr: Zoerbiger Str. 17
descr: D-06749 Bitterfeld

[Link nur für registrierte Mitglieder sichtbar. ] --> Werbeseite für Partnerprogramme

[Link nur für registrierte Mitglieder sichtbar. ] --> Fehlerseite, gehörte offenbar H. Frau
descr: Fa. TDB Edertal
descr: Edertal, Germany
[...]
[admin-c]
Type: PERSON
Name: S. H.-B.
[...]
Email: [Link nur für registrierte Mitglieder sichtbar. ]

[Link nur für registrierte Mitglieder sichtbar. ] --> Frameset mit dem seltsamen <title>Willkommen aconti</title>

Code:

whois: Admin Organization: griesser andreas corp. könig der 7 weltnetze

Heute ein König...
Frames:
[Link nur für registrierte Mitglieder sichtbar. ] --> (Werbeseite für Snowkites)
[Link nur für registrierte Mitglieder sichtbar. ]:81 -> (?)
[Link nur für registrierte Mitglieder sichtbar. ]= --> (Tracker/Zähler)

Eniac

--
Spammers of the day:
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]

[Houser]

Hmmm http://cert.uni-stuttgart.de/archive/use...5/msg01034.html
Zitat:
> Dumme Frage: Was macht der Virus überhaupt?
Was? Jede Menge. Erst mal baut er sich als WindowsSys(tem/32)
explorer.scr (scr ist eine ausführbare Datei) in den Autostart ein - mit
dem Befehl
System-Service REG_SZ
C:WINDOWSSYSTEMEXPLORER.SCR
Bei jedem Rechnerstart benennt er sich dann willkürlich um, und passt die
Registry entsprechend an. So startet er beispielsweise das nächste Mal
als tnfifrw.exe, aber im Taskmanager ist er immer noch "Explorer.scr".
Dann legt er ein Verzeichnis WindowsTempSys32 an, und füllt es mit
aberhunderten von Kopien seiner selbst an, die so tolle Namen tragen wie
"Win Xp pro Downloader.exe" oder "warcraft full downloader.exe", und gibt
dieses Verzeichnis frei, damit Kazaa-Benutzer sich auf es stürzen und in
der Hoffnung auf Warez diesen Wurm weiter verbreiten.
Der Besitzer der Festplatte fragt sich verzweifelt, warum er dauernd die
Fehlermeldung "Nicht genug Speicher auf Datenträger" bekommt, obwohl
eigentlich noch 2 GB frei sein sollten.
Der Wurm versucht außerdem die IP-Adresse 209.182.61.132 sowie weitere
Adressen zu kontaktieren
64.239.122.20 (ns1.macrohost.de [Dialtone Internet])
63.209.70.227 (an unknown address at Level3.net)
217.69.237.132 (an unknown address at PIXELHIT1-NET)
Die Kontaktaufnahme soll wohl Klicks auf Werbebanner erzeugen, mit denen
dann Einnahmen gewonnen werden sollen.
(ie Adressen habe ich von einem "John" aus alt.comp.virus, der den Wurm
ein wenig analysiert hat, nachdem er ihn sich eingefangen hatte). Autor
des Wurms ist ein Herr Komoszki, dessen Homepage vermuten lässt, dass er
dringend Geld braucht.
---

ich finde noch seltsamere URLs im Frameset ...
http://igs.kiffer.at
Linkt mich zu http://ruzero.hotmail.ru/
Da gibts dann sowas http://0190-abzocke.dr.ag/ http://0190dialer.dr.ag/
???
http://217.69.237.132/ das scheint das Dialerziehl zu sein
aber die Firewall zeigt, dass die Daten vom Interfun Server gezogen werden ...
http://216.239.51.104/search?client=navclient-auto&ch
=52150788362&features=Rank&q=info:http%3A%2F%2Fdial%2Einterfungmbh%2Ede%2Fwmacti veurl%2Ephp%3F 368 136 0
dial.interfungmbh.de 217.173.133.132 headers http://dial.interfungmbh.de/wmactive30.php?id
=1336&hd=&x=1&show=false&popup=false&autodownload=false&retry=true 632 627 0
malina.tripod.com.ar 66.119.67.88 headers http://malina.tripod.com.ar/images/videos_06.jpg
malina.tripod.com.ar 66.119.67.88 headers http://malina.tripod.com.ar/images/videos_08.gif
dial.interfungmbh.de 217.173.133.132 headers http://dial.interfungmbh.de/wmactive31.php?id
=1336&hd=&show=false&popup=false&x=1&autodownload=false&retry=true 617 1347 0
malina.tripod.com.ar 66.119.67.88 headers http://malina.tripod.com.ar/images/videos_09.gif
malina.tripod.com.ar 66.119.67.88 headers http://malina.tripod.com.ar/images/videos_10.gif
dial.interfungmbh.de 217.173.133.132 headers http://dial.interfungmbh.de/images/bar.gif 31
headers http://malina.tripod.com.ar/images/videos_12.gif
http://dial.interfungmbh.de/images/spacer.gif
http://dial.interfungmbh.de/images/chat_r1_c1.gif
http://malina.tripod.com.ar/images/videos_11.gif
headers http://dial.interfungmbh.de/images/chat_r2_c1.gif
http://malina.tripod.com.ar/images/7.jpg 474 609
headers http://dial.interfungmbh.de/images/chat_r2_c7.gif

[Houser]

ok - einmal reicht wirklich :) [gelöscht]

[Houser]

Poste mal das Logfile - may be important:
Started registry scan
&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&m acr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&mac r;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;&macr;
Dialer Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : Interface{0F4A7B40-A295-11CF-A3A9-00A0C9034920}

Dialer Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : Interface{C60BC918-ABBA-0704-0B53-2C8830E9FAEC}

Dialer Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : TypeLib{000000AA-ABBA-0704-0B53-2C8830E9FAEC}

Dialer Object recognized!
Type : File
Data : wmactive.exe
Object : C:WINNTsystem
FileSize : 55 KB

Dialer Object recognized!
Type : File
Data : wmactive.exe
Object : C:WINNTDownloaded Program FilesCONFLICT.8
FileSize : 55 KB

[dvill]

Die Class-Ids sind scheinbar veränderlich. In den Webseiten auf dem Mitstörerserver steht zur Installation des "VideoPlugins"
classid="clsid:15C3C7A4-9676-11D3-9799-0060087190B9"
gemäß
http://groups.google.com/groups?hl=d...G=Google-Suche
Dietmar Vill

[dvill]

. einmal reicht .