Das mittels Spam-Mails Webseiten mit Dialer - Downloads unter dem Namen "AntiVirus Team" beworben werden, ist ja nicht neu und sollte ohnehin stets unbeachtet gelöscht werden. Noch pikanter wird die Sache, wenn auf der betreffenden "Dialer-Seite" Texte anderer Webseiten zwecks eigener Bereicherung missbraucht werden. Im aktuellen Fall nämlich einen Teil von Trojaner-Info.de.
Aber fangen wir erst einmal ganz von vorne mit der Spam-Mail an, die wie folgt ausschaut (Empfängeradresse wurde durch "ZENSUR" ersetzt):
Return-Path: <" antivirus0000o77"@uni.de>
X-Flags: 0000
Delivered-To: GMX delivery to ZENSUR@gmx.de
Received: (qmail 8897 invoked by alias); 6 Aug 2002 17:41:07 -0000
Delivered-To: GMX delivery to ZENSUR@gmx.net
Received: (qmail 8668 invoked by uid 0); 6 Aug 2002 17:41:05 -0000
Received: from unknown (HELO uni.de) (211.114.176.2) by mx0.gmx.net (mx010-rz3) with SMTP; 6 Aug 2002 17:41:05 -0000
Reply-To: "AntiVirus Team" < antivirus0000o77@uni.de>
Message-ID: <024a54b02b6e$5864c7b5$0ed62da1@nlhebt>
From: "AntiVirus Team" < antivirus0000o77@uni.de>
To: Users
Subject: !! Virenwarnung !! (weiterleiten!) 2874ZRDm2-409ndfd9442wm-22
Date: Tue, 06 Aug 2002 19:21:45 -0200
MiME-Version: 1.0
Content-Type: text/plain;charset="us-ascii"
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: QUALCOMM Windows Eudora Version 5.1
Importance: Normal
X-Resent-By: Forwarder <forwarder@gmx.net>
X-Resent-For: ZENSUR@gmx.net
X-Resent-To: ZENSUR@gmx.de
VORSUCHT - VORSICHT - VORSICHT - VORSICHT
Seit einigen Wochen gehen fast täglich eMails mit neuen Würmern ein. Anders als der BadTrans Wurm, welcher noch vor wenigen Monaten Millionen deutscher Computer lahmlegte, ist der neue Klez Worm noch viel gefährlicher.
Wir haben im Interesse aller Internetanwender auf unserem Download Server die nötige Software bereitgestellt um diesen gefährlichen Virus aufzuspüren und zu vernichten. Ist ihr PC schon infiziert und Sie wissen es noch nicht? Laden Sie sich auf unserem Download Server alle nötige Schutzsoftware runter. Auch kostenlose Virenscanner gibt es auf unserem Download Server.
Laden Sie sich jetzt unsere kostenlose Zugangssoftware runter, um auf unseren Download Server zugreifen zu können
http://www.antivirus-team.com
Wir wünschen Ihnen viel Erfolg bei der Bekämpfung gefährlicher Viren. Schützen Sie sich, bevor es zu spät ist!
Mit freundlichen Grüßen
AntiVirus Team
http://antivirus.5xx.net
Bearbeitungsnummer:
1980goOw2-821bPuT480l19
Folgt man nun dem Link "antivirus-team.com" erscheint eine Webseite, die bei einem Free-Webspace Provider gehostet wurde. Wir haben einen Screenshot der betreffenden Seite erstellt, der H I E R eingesehen werden kann.
Die "Aktuelle Virenwarnung" bezüglich Frethem wurden wortwörtlich von unseren aktuellen Virenwarnungen übernommen. Jedoch stellen wir unsere Links zu Tools für den Besucher kostenlos zur Verfügung und nicht mittels Dialersoftware. Wir "freuen" uns immer wieder, wie gut unsere Informationen auch bei ganz "speziellen" Leuten ankommen. Das die besagte Seiten obendrein gegen das Teledienstgesetzt verstösst, brauchen wir an dieser Stelle kaum noch zu erwähnen (z.B. fehlendes Impressum etc.).
Das Downloadtool (downloadtool.exe - 45,1 KB) entpuppt sich im übrigen als ein 0190 Dialer, der 1,86 Euro die Minute abgrechnet. Was bzw. ob man dafür überhaupt etwas bekommt, haben wir uns erspart nachzuprüfen.
Zum wiederholten Male wurden Dialer eines Dialeranbieters aus Berlin "bespamt". Immer wieder werden derartige oder ähnliche Spam-Mails mit diesem Dialeranbieter in Zusammenhang gebracht. Laut Aussage dieser Firma, habe man mit der Spammerei nichts zu tun. Auffällig ist jedoch, wie hartnäckig dieser Spam seit geraumer Zeit im Netz kursiert.
Der besagte Dialer wendet jedoch selber keinerlei Tricks zum Nachteil des Anwenders an. Das heisst, der Internetanwender muss schon tatsächlich selber die Verbindung herstellen. Auch die Kosten werden im Hauptmenü mitgeteilt. Diesbezüglich wenigstens keinerlei Einwände.
Jedoch wird versucht, mit der Angst vor Viren und anderer Malware, den Leuten das Geld aus der Tasche zu ziehen.
Wir sind der Meinung, hier sind die Spammer etwas zu weit gegangen und wir lassen die rechtliche Situation prüfen. Immerhin scheint es sich um einen Besucher unserer Seiten zu handeln. Auf derartigen Besuch kann Trojaner-Info jedoch herzlich gerne verzichten.
Wer sich vor Viren & Co. schützen und sich informieren möchte, der sollte sich lieber entweder bei uns oder anderen namenhaften Security-Seiten umschauen.
Die Domain ""antivirus-team.com" wurde allerhöchster Wahrscheinlichkeit unter falschen Angaben registriert:
Ausgabe von whois.nsiregistry.com
==================================================
Whois Server Version 1.3
Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: ANTIVIRUS-TEAM.COM
Registrar: ALLDOMAINS.COM INC.
Whois Server: whois.alldomains.com
Referral URL: http://www.alldomains.com
Name Server: NS2.ALLDOMAINS.COM
Name Server: NS1.ALLDOMAINS.COM
Updated Date: 21-jul-2002
>>> Last update of whois database: Tue, 6 Aug 2002 16:48:24 EDT <<<
The Registry database contains ONLY .COM, .NET, .ORG, .EDU domains and Registrars.
Ausgabe von whois.alldomains.com
==================================================
The Data in Alldomains' WHOIS database is provided by Alldomains
for information purposes, and to assist persons in obtaining
information about or related to a domain name registration record.
Alldomains does not guarantee its accuracy. By submitting a
WHOIS query, you agree that you will use this Data only for lawful
purposes and that, under no circumstances will you use this Data to:
(1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail
(spam); or (2) enable high volume, automated, electronic processes
that apply to Alldomains (or its systems). Alldomains reserves
the right to modify these terms at any time.
By submitting this query, you agree to abide by this policy.
Registrant:
Danuca Marketing (DOM-245626)
Rawson RD 78 Sydney Guilford 2161 AU
Domain Name: antivirus-team.com
Registrar Name: Alldomains.com
Registrar Whois: whois.alldomains.com
Registrar Homepage: http://www.alldomains.com
Administrative Contact:
Dino Danuca (NIC-1288248) Danuca Marketing
Rawson RD 78 Sydney Guilford 2161 AU
Danuca-marketing@ananzi.co.za +61.403649186 Fax- +61.403649186
Technical Contact, Zone Contact:
Team AntiVirus (NIC-1288265) antivirus-team.com
1800 Sutter St. Suite 100 Concord CA 94520 US
hostmaster@antivirus-team.com +1.9256859600 Fax- +1.9256859620
Billing Contact:
Dino Danuca (NIC-1288251) Danuca Marketing
Rawson RD 78 Sydney Guilford 2161 AU
Danuca-marketing@ananzi.co.za +61.403649186 Fax- +61.403649186
Created on..............: 2002-Jul-21.
Expires on..............: 2003-Jul-21.
Record last updated on..: 2002-Jul-29 00:10:31.
Domain servers in listed order:
NS1.ALLDOMAINS.COM 209.25.140.101
NS2.ALLDOMAINS.COM 209.25.143.102
Register your domain name at http://www.alldomains.com
