Zugegeben, gewartet haben wir darauf lange, doch gehofft haben wir es natürlich nie. Mehrere Trojaner-Info Besucher machten uns auf eine 16 Kilobyte kleine EXE-Datei aufmerksam. Dieser kleine Fiesling wählt eine 0190er Mehrwertnummer und verschwindet wieder vom System. Wir liessen uns diese zuschicken und leiteten die Datei zwecks Analyse an Network Associates (McAfee) in Hamburg weiter.
Wird der kleine Trojaner ausgeführt, so wird eine 0190-8xxxx - Verbindung über das Modem aufgebaut. Sowie das geschehen ist, löscht sich die Datei wie von Geisterhand. QDial11, so der offizielle Name laut Network Associates Datenbank, nimmt keinerlei Änderungen in der Registry oder sonst irgendwo im Betriebssystem vor. Eine Meldung auf dem Bildschirm wird ebenfalls nicht angezeigt. Dafür versucht der Trojaner diverse Dialerschutzprogramme auszuhebeln, löscht die Browserhistorie, sowie die Browsercache (beides Internet Explorer).
Warum derartige Trojaner unter die Leute gebracht wird, liegt auf der Hand: Sobald der Geschädigte unbekannte 0190-Einwahlen auf seiner Telefonrechnung findet, fehlen ihm jegliche Beweise, dass die Einwahl ohne sein Zutun erfolgte, da der Trojaner sich längst aus dem Staube gemacht hat. Das ein Betrug vorliegt, wird kaum noch nachvollziehbar sein.
Ursprung bzw. woher diese Trojaner stammen, ist bisher ungeklärt. Auch wie diese Dateien auf die PCs der Anwender gelangt sind. Denkbar wären jedoch mehrere Methoden bzw. ein Zusammenspiel mehrere Begebenheiten. Denkbar wäre unter Angabe falscher Tatsachen der Versand per E-Mail, über Online - Tauschbörsen und Chats (z.B. IRC, ICQ etc.).
Für uns liegt jedoch auch die Vermutung nahe, dass durch dubiose Webseitenbetreiber der Versuch unternommen wurde bzw. wird, diese Datei einem Surfer unterzujubeln. Sei es getarnt als nützliche Datei zum Download , mittels ActiveX, JavaScripten (sehr wahrscheinlich!) und/oder Sicherheitslücken des Webbrowsers. Einige Trojaner-Info Besucher waren sich sogar recht sicher, diese Datei über eine Webseite auf ungewünschte Art und Weise bezogen zu haben. Leider konnten wir das nicht mehr nachvollziehen, doch kann diese Aussage durchaus der Wahrheit entsprechen.
Abschliessend sei noch erwähnt, dass QDial11 dahingehend in anderen Varianten in Erscheindung treten könnte (wenn nicht schon geschehen), indem andere Mehrwertnummern angewählt werden. Man denke z.B. an Rufnummern mit hohen Einwahlgebühren bzw. Pauschalpreisen je Einwahl.
Network Associates nimmt den Trojaner QDial11 in den McAfee Virendefinitionen auf. Bleibt zu hoffen, dass auch andere AntiVirus Hersteller entsprechend nachziehen und dieses ebenfalls tun. Wir werden unser Möglichstes tun.
Wir danken Herrn Kollberg von Network Associates Hamburg für die Analyse und technischen Informationen bezüglich des Trojaners.
Originalbeschreibung Network Associates (englisch)
