Die DEUTSCHEN Trojaner-Seiten
 
Home
Zwei Dialer umgehen Dialer-Schutzsoftware

Einige Besucher unserer Webseiten meldeten uns Dialer, die unser Schutzprogramm "YAW 3.01" (Autor: Andreas Haak) aus dem Speicher entfernen. Ein Dialer soll sogar den erneuten Start von YAW verhindern, da eine dazu notwendige Datei nicht mehr vorhanden sei.

Der Sache wollten wir nachgehen und testeten beide Dialer gleich gegen 10 verschiedene Dialer Schutzprogramme. Denn wir wollten wissen, ob gegebenenfalls nur YAW 3.01 davon betroffen sein könnte.

Es sollte kein Test von Schutzprogrammen sein. Es ging uns lediglich darum, die Funktionen der Dialer entsprechend nachzuprüfen.

Die getesteten Dialer

active2.exe (Größe: 51,8 KB), Programmicon: roter Mund
Anbieter: Firma Interfun GmbH

Kurzanalyse:
Der Dialer legt eine Kopie von sich selber in das Verzeichnis c:\windows\system\ACTIVE2.EXE an. Kein Autostart, kein Eintrag im DFÜ-Ordner. Eine temporäre Eintragung erfolgt erst zu Beginn einer Einwahl.

Wenn es dem Dialer gelang ein Schutzprogramm aus dem Speicher zu entfernen, so blieben in alle Fällen die Icons der Schutzsoftware im Task sichtbar. Erst wenn der Anwender mit der Mouse über das Icon fährt, verschwindet es.

1sve00000.exe (Größe: 51 KB), Programmicon: Weltkugel
Anbieter: ebs Electronic Billing Systems AG, ausgegliedert in: Crosskirk S.L. (Palma de Mallorca - Spanien). Es handelt sich hier um die Dialer von "0190-dialer.com"

Kurzanalyse:
Der Dialer legt eine Kopie von sich selber in das Verzeichnis c:\windows\1sve00000.exe an. Es erfolgt ein Eintrag in die Registry damit der Dialer bei jedem Systemstart erneut im Hintergrund geladen wird. Dieses ist auch im Task als Icon in Form einer "Weltkugel" sichtbar. Der laufende Prozess ist jedoch im Windows Task (Strg+Al+Entf) nicht zu sehen.

Die 1sve00000.exe legt jeweils ein Programmicon (Weltkugel) als Verknüpfung auf dem Desktop, im Windows Startmenü und Windows Startmenü -> Programme an. Diese Verknüpfungen führen alle zu der im Windows-Verzeichnis befindlichen Datei.

Die Dialeroberfläche zeigt die Einwahlnummer: 0190846393 an. Unter dem entsprechenden DFÜ Eintrag (Name: pay@eurodebit) wird jedoch die Einwahlnummer "019231760" angezeigt ! Eine 0190-Sperre seitens des Netzbetreibers wäre nutzlos.

Noch kurz vor der Anwahl wird die Personalausweisnummer abgefragt. Diese kann der Anwender auch speichern (erfolgt in der Registry). Daher kann sich der Dialer beim ersten Start nicht ohne Zutun seitens des Anwenders ins Netz einwählen.

Wenn es dem Dialer gelang ein Schutzprogramm aus dem Speicher zu entfernen, so waren die Icons der jeweiligen Schutzsoftware in allen Fällen auch sofort verschwunden. Der aufmerksame Anwender konnte also sehen, dass sein installiertes Schutzprogramm nicht mehr aktiv ist.

Die Testbedingungen

Wir haben den Test am 19.06.2002 unter zwei Betriebssystemen durchgeführt und kamen stets zu den gleichen Ergebnissen:

Testsystem 1: Windows ME, ISDN-DFÜ Netzwerk installiert. Stecker jedoch aus der Telefonanlage gezogen, die eine externe ISDN-Karte beinhaltet.
AMD Athlon 900 MHZ, 256 MB RAM

Testsystem 2: Windows 98 SE + Windows ME, DFÜ-Netzwerk installiert und externes Modem angeschlossen und eingeschaltet. Jedoch nicht mit der Telefonleitung verbunden.
Pentium III 800 MHZ, 256 MB RAM

Für jeden Testdurchlauf (also ein Schutzprogramm und ein Dialer) wurde das Betriebssystem neu aufgespielt.

Ein Windows-Neustart (Warmstart) erfolgte nach jeder Installation einer Schutzsoftware. Soweit möglich, wurden die Schutzprogramme bei der Installation so konfiguriert, dass es bei jedem Systemstart ebenfalls ausgeführt wird und somit ständig im Hintergrund läuft.

Jeder Dialer wurde durch Doppelklick ausgeführt, während das Schutzprogramm im Hintergrund "werkelte".

Der Test

0190 Alarm 3.00

active2.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt.

1sve00000.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt.

0190 Killer 2.0

active2.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

1sve00000.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt.

0190-Anti-Dialer 1.0

active2.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

1sve00000.exe
Programm wird nicht bei Start des Dialers aus dem Speicher entfernt. Dialer könnte sich jedoch ungehindert einwählen, da eine Vorwahl "0192" verwendet wird, die das Schutzprogramm nicht standartmässig überwacht. Der Anwender könnte diese jedoch von Hand nachtragen und dann gibt Anti-Dialer auch eine Warnmeldung bei Anwahlversuch aus.

0190 Warner 2.12

active2.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

1sve00000.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

Dialer Control 1.0.4.61

active2.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

1sve00000.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

PopUpKiller & DialerDetector 2.0.1

active2.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

1sve00000.exe
Programm wird nicht bei Start des Dialers aus dem Speicher entfernt. Dialer könnte sich jedoch ungehindert einwählen, da eine Vorwahl "0192" verwendet wird, die das Schutzprogramm nicht standardmässig überwacht. Der Anwender könnte diese jedoch von Hand nachtragen. Im Test gab das Schutzprogramm danach trotzdem keine Warnmeldung heraus.

RDC - RAS/DFÜ Check V1.91

active2.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

1sve00000.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.

SmartSurfer 2.30

active2.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt.

1sve00000.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt.

YAW 3.01

active2.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt. YAW gibt zwar in einigen Fällen noch eine Warnmeldung heraus, jedoch wird die Anwendung durch den Dialer komplett geschlossen.

1sve00000.exe
Schon bei Start (nicht erst bei einem Einwahlversuch) des Dialers wird das Programm aus dem Speicher entfernt. Besonders "nett": YAW kann nach Start des Dialers nicht mehr ausgeführt werden, da nun die Datei "PROCS.DLL" nicht mehr vorhanden ist. Nur eine Neuinstallation von YAW schafft hier Abhilfe. Die "PROCS.DLL" gehört zu YAW 3.01.

Connection Watch 2.0 (Version aus Februar 2002)

Eigentlich wollten wir das Programm nicht testen, da wir nur über eine Version aus Februar 2002 verfügen. - Dieses könnte gegenüber den anderen Schutzprogrammen etwas unfair ausfallen. Aber es geht uns in diesem Test nicht darum Schutzprogramme zu testen, sondern um die entsprechenden Funktionen der jeweiligen Dialer.

active2.exe
Programm wird nicht durch die Dialersoftware beendet, gibt bei Anwahlversuch jedoch keine Warnmeldung aus. Eine Warnmeldung erscheint lediglich in dem Fall, sollte der DFÜ-Ordner durch den Anwender geöffnet und/oder in die Taskleiste minimiert worden sein. Dieses wird in der Praxis jedoch weniger der Fall sein.

1sve00000.exe
Programm wird nicht durch die Dialersoftware beendet und warnt bei Einwahlversuchen.


Nachwort von uns:
Dieser Test mag einige Schutzprogramme in ein schlechtes Licht rücken. Viele Leser könnten glauben, die betroffenen Programme seien nicht sicher oder angreifbar. Dessen sind wir uns durchaus bewusst und möchten darauf noch kurz eingehen, da dieses so nicht ganz richtig ist.

Wie schon weiter oben beschrieben, geht es einzig und alleine um die "Funktionen" der beiden Dialer, die an den Tag gelegt werden. Die Gründe, warum einige Schutzprogramme nicht aus dem Arbeitsspeicher entfernt werden, können nur spekuliert werden. Denn viele der hier nicht betroffenen Schutzprogramme könnten ebenfalls sehr leicht aus dem Speicher entfernt werden.

Gründe könnten sein:
Es werden nur Programme beendet, die wirklich weit verbreitet und besonders bekannt sind. Eine andere Möglichkeit könnte darin bestehen, dass einige Autoren der Schutzprogramme entsprechende Updates in der der Zeit zwischen Erscheinen der/des Dialers(s) und der neuen Programmversion herausgebracht haben. Unsere Downloads der Dialer sind älter als die der Schutzprogramme (Ausnahme: YAW 3.01 und Connection Watch 2.0).

Egal wie die Begründungen der Dialeranbieter für dieses Vorgehen lauten, so sind wir der Meinung, ein Anwender installiert sich ein Schutzprogramm damit keine ungewollten Einwahlen mittels Dialer erfolgen.

Sollte sich der Anwender doch einmal ein Angebot wahrnehmen wollen, wo als Zahlungsmittel ein Dialer eingesetzt wird, so kann dieses trotzdem geschehen. Alle Programme bieten auch Optionen an, eine Einwahl zu erlauben, wenn es der Anwender ausdrücklich wünscht.

Wir nehmen mal nur als Beispiel unser Programm YAW 3.01 (Autor: Andreas Haak). Das Programm löscht schließlich auch keine Dialer ohne Rückfrage an den Anwender.

Im übrigen arbeitet Andreas Haak gerade an einer neuen YAW Version (4.0), die sehr bald fertiggestellt sein dürfte. Darin sind neue innovative Funktionen enthalten. Auch was die Schutzfunktion vor unerwünschter Entfernung aus dem Arbeitspeicher angeht, wird noch einiges stark verbessert.

Am 05.04.2002 haben wir schon mal einen Dialer der Firma Interfun getestet. Wir schrieben damals "Auch haben wir unsere YAW Betaversion 3.0 ohne "Killschutzfunktion" getestet. YAW 3.0 Beta gibt eine Warnmeldung aus. Diese Meldung und YAW 3.0 werden durch den Dialer jedoch innerhalb einer Sekunde beendet. Das wird in der zukünftigen Endversion jedoch auch nicht mehr passieren."
Diesbezüglich haben wir auch Wort gehalten, da die ältere Dialerversion von YAW 3.0 und YAW 3.01 zuverlässig geblockt wird. Bei dem neueren Dialer des Anbieters aus diesem aktuellen Test wird YAW 3.01 erneut beendet.

Infos und Schutz gegen unerwünschte Dialersoftware

(tt) 22.06.2002