Zur Zeit werden ICQ-Usern unaufgefordert Nachrichten übermittelt, wo eine kostenlose Dialer-Software zum Download angeboten wird. Die Datei ist 65.127 Byte gross und trägt den Namen "Dialer1.exe" (Name und Größe könnten je nach "Energie" der Verbreiter abweichen !).
In der Nachricht wird dem Anwender versprochen erotische Angebote von 0190-Diensten im Web kostenlos benutzen zu können.
Lädt der Anwender sich nun das Programm aus dem Netz und startet dieses durch Doppelklick geschieht zunächst einmal eigentlich gar nichts. Doch das diese EXE-Datei nichts gutes heissen wird, lässt sich schon vermuten, da es keine sogenannten "gecrackten" Dialer gibt.
Hier einige Eigenschaften der Datei, die bisher herausgefunden werden konnten:
- Das Programm umgeht bekannte 0190-Wächter (z.B. 0190 Warner und Smart Surfer von Web.de) indem diese entweder aus dem Speicher entfernt werden bzw. die 0190er durch den Warner nicht erkannt wird.
- Folgende Anwendungen werden durch diese Datei ebenfalls beendet: AOL- und T-Online Zugangssoftware, TrojanCheck, wahrscheinlich auch die Freeware Firewall ZoneAlarm.
- Der Internet-Explorer wird dahingehend "umkonfiguriert" indem ein Proxyserver für den Verbindungsaufbau eingetragen wird. Der IE erhält eine neue Startseiten mit "Livecams aus Berlin".
- Es wird eine neue DFÜ-Verbindung definiert, die im Offline-Modus nicht sichtbar ist. Sondern nur im Fall, wenn eine Verbindung durch die Software (vermutlich automatisch und ohne Zutun seitens des Anwenders) hergestellt wurde.
- Datei wurde in UPX gepackt, scheinbar um es vor der Erkennung durch Trojaner- und Virenscanner zu schützen.
- Eventuell sind auch Trojanerfunktionen vorhanden, die bisher noch nicht genau geklärt werden konnten. Unser Mitarbeiter Roman berichtet davon, indem ICQ Nachrichten abgefangen wurden. Das wird jedoch noch geprüft.
So wie es ausschaut, wurde ein normaler Dialer zu einem Trojanischen Pferd umfunktioniert um eventuell mit dieser Methode Geld zu verdienen. Anbieter derartiger Dialersoftware gibt es einige. Es ist daher denkbar, dass sich jemand bei einem derartigen Dienstleister angemeldet hat und jetzt meint, über diese Methode Geld zu verdienen. Aber besteht auch die Möglichkeit, indem sich eine Person einen sehr üblen Scherz an die Netzgemeinde erlaubt hat. Sobald die Analysen abgeschlossen sind, werden wir uns mit der entsprechenden Firma in Verbindung setzen, damit gegebenfalls der Urheber ermittelt werden kann.
Update der Informationen 26.09.2001
Wir haben das Programm zur Analyse an eine Virenlabor geschickt. Trojanerfunktionen sind in diesem Fall nicht in dieser Datei eingebaut worden. Es handelt sich somit um einen Dialer, der mit sehr faulen Tricks arbeitet.
Ein Dank geht an Roman und Andreas Haak für die bisherige Vorab-Analyse.
Zu unserer Dialer-Rubrik
