Dubiose Webseitenbetreiber lassen sich immer wieder neue Tricks einfallen um ahnungslosen Anwendern einen Dialer unterzujubeln. Wenn aber eine Webseite versucht gleich mehrere Sicherheitslücken im Internet Explorer auszunutzen, um einen Dialer auf das System des Surfers zu installieren, dann macht der Seitenbetreiber auch vor gefährlichen Visual Basic Scripten und Trojanischen Pferden nicht halt um fremder Leute Geld aus der Tasche zu ziehen.
Wir möchten die technischen Tricks aus verständlichen Gründen nicht bis in das letzte Detail erklären und haben uns für eine einfache, allgemeine Beschreibung entschieden.
Im Zusammenspiel mit einem Visual Basic Script werden die Sicherheitseinstellungen des Internet Explorers dahingehend manipuliert, dass Aktive Inhalte (ActiveX Komponenten) herunterladen und ausgeführt werden. Ohne jegliche Rückfrage an den Anwender, ob dieses geschehen soll oder nicht.
Die präparierte Webseite versucht weiterhin mehrere Sicherheitslücken des Internet Explorers auszunutzen, um ein Trojanisches Pferd Namens "Win32/Aphex.2_4" auf dem System des Besuchers einzuschleusen. Diese kleine Datei von nur 2,5 KB Größe soll nach Start einen Dialer von einem entfernten Webserver herunterladen. ActiveX Komponenten werden versucht zu laden, Einsatz von Java Scripten und Techniken, die sehr an den Nimda Wurm erinnern, sind hier mal als Beispiele genannt.
Aber auch das zuvor genannte Script kann noch weitaus mehr bewirken, als einem lieb ist. Das Script installiert sich im System so, dass es bei jedem Systemstart ebenfalls geladen wird. Das Script kann Modemlautsprecher ausschalten, damit keine Wähl-Töne hörbar sind, wenn das Script später zu festgelegten Zeiten den Dialer startet und sich dieser einwählt. Damit der Anwender auch wirklich nichts von der ganzen Prozedur mitbekommt, wird der DFÜ-Dialog deaktiviert.
Die Dialerdatei selber wurde verschlüsselt und ein Bedienermenü wie bei anderen Dialern wird man vergebens suchen. Das der Dialer sich nach Start auch sofort einwählen kann (ohne Rückfrage, "versteht" sich...), braucht schon fast nicht mehr erwähnt werden.
Sollte der Anwender doch dem Dialer auf die Spur gekommen sein und löscht diesen, so wird das auch wenig Zweck haben, da das VBS-Script das Trojanische Pferd dazu veranlasst den Dialer erneut aus dem Web zu laden.
Laut Dialerschutz.de sollen sich auch E-Mails im Umlauf befinden, die sich eventuell vorhandene Sicherheitslücke zu Nutze machen. Hier kann es unter Umständen schon ausreichen, die E-Mail einfach zu öffnen und es findet eine ähnliche Prozedur wie hier beschrieben statt, die stark an den Nimda Wurm erinnert.
Um welche Dialer handelt es sich, der verwendet worden ist ? Welche Rufnummer wird angewählt ?
Wir werden hier mal einige Textausschnitte aus dem Dialer unkommentiert veröffentlichen. Es sind nicht alle Texte, die darin enthalten sind, sondern beschränken wir uns hauptsächlich auf den deutschsprachigen Teil. Es scheint uns jedoch, der Dialer befindet sich nicht in seinem Ursprungszustand vom Dialeranbieter selber und wurde nachträglich manipuliert !
0190,040762 (es sind viele Einwahlnummern im Dialer enthalten, diese dürfte Deutschland betreffen und wird laut Infoblatt der Regulierungsbehörde durch die Firma Talkline weitervermietet)
By clicking'OK' you are acknowledging that you are the party responsible or authorized by the line subscriber to pay $6.00 per minute for this service
www.ibillingsystems.com
*** ACHTUNG***
Nur Volljährige (18 Jahre) sind zur Verwendung dieses Dienstes berechtigt. Wenn Sie mit der Verwendung der Software fortfahren, erklären Sie damit, dass Sie mindestens 18 Jahre alt sind.
ANLEITUNG & WARNHINWEISE
Wenn Sie diesen Wahlservice als Zahlungsmethode für das betreffende Material wählen, laden Sie unsere proprietäre Software auf die Festplatte Ihres Computers. Dieser Aufrufwillenskosten Sie 4,09 ?/min. Sie können für than(20)mins nicht mehr bleiben.
VERBINDUNGSABBRUCH:
Nach dem Einwählen wird eine Internet-Verbindung mit einem Remote-Server außerhalb Ihres Landes hergestellt. Ihr Modem unterbricht dann die Verbindung zum Internet-Dienstanbieter und wählt eine Telefonnummer im Ausland. Dabei fallen Auslandsgebühren an. Sie können unseren Service durch eine der folgenden Verfahren beenden:
1.) Unterbrechen Sie die Verbindung, indem Sie das Modemsymbol unten rechts auf der Symbolleiste in Windows 95/98/NT/2000 auswählen und dann auf die Schaltfläche "Verbindung abbrechen" klicken, oder
2.) Stellen Sie eine maximale Verbindungszeit von fünfundzwanzig (20) Minuten ein. Die Einwählsoftware beendet dann den Service automatisch nach fünfundzwanzig (20) Minuten; oder
3.) Klicken Sie auf das Anwendungssymbol der Einwählsoftware am unteren Rand der Symbolleiste in Windows 95/98/NT/2000. Es erscheint ein Nachrichtenfeld. Klicken Sie dort auf "Ja", um die Verbindung abzubrechen.
Die Kosten für den Anruf werden pro Minute berechnet (mit Aufrundung zur nächsten vollen Minute) und auf Ihrer nächsten Telefonrechnung in Rechnung gestellt. Die Gebühren für das Auslandsgespräch erscheinen ebenfalls [SMB1]auf Ihrer nächsten Telefonrechnung. Die genaue Höhe dieser Gebühren erfragen Sie bei Ihrer Telefongesellschaft
Wie reagieren Virenscanner auf diese Tricks ?
Das VBS-Script wird z.B. von Kaspersky AntiVirus als "I-Worm.Nemit.b"und Sophos AntiVirus als VBS/Moon-B erkannt. Wobei es sich eigentlich nicht um einen Wurm in dem Sinne handelt, da sich dieser nicht selber weiterverbreiten kann.
Die Loaderdatei, die den Dialer aus dem Web herunterladen soll erkennt RAV AntiVirus als "Win32/Aphex.2_4". Angegebener Link führt zu einer Beschreibung in englischer Sprache und die von uns getestete Loaderdatei ist nicht der gesamte Wurm, wie dort beschrieben !
Sophos definiert den Dialer selber ebenfalls als schädliches Programm unter dem Namen "Dial/Moon-B".
Hinweis: Die Beschreibungen der AntiVirus Firmen stimmen nicht vollständig mit denen der präparierten Webseite überein. Der Seitenbetreiber hat scheinbar die Dateien seinen "Bedürfnissen leicht angepasst.
Verwendete ActiveX Komponenten und die EML-Datei (die auf der Webseite aufpoppt bzw. auch als E-Mail verschickt wird) werden durch einige AntiVirus Programme ebenfalls als sogenannte Exploits erkannt.
Je nach verwendeter AntiVirus Software kann diese die hier aufgezeigt Prozedur durchaus verhindern. - Verlassen sollte man sich darauf jedoch niemals.
Welche Browser sind betroffen ?
Betroffen ist hier nur der Internet Explorer, sollte dieser nicht in neuester Version und aktuellen Sicherheitspatches vorliegen. Tests mit Netscape, Opera und Mozilla 1.2.1 verliefen negativ und es konnten keine Infektionen nach Besuch der präparierten Webseiten festgestellt werden.
Welchen Betreff und Text tragen diese E-Mails ?
Betreff: Hi Boy
Text: I'm 18 years old and my name is Pamela......
Jedoch VORSICHT ! Je nach verwendeten Sicherheitseinstellungen und Mailprogramm kann eine "server.exe" automatisch (also ohne Doppelklick auf Dateianhänge) gestartet werden, die im Code der Mail eingebaut wurde !
Was kann ich dagegen tun ?
Entweder auf die Verwendung des Internet Explorers und Outlook (Express) verzichten oder nur die neuesten Versionen mit alle Sicherheitspatches installieren, die Microsoft unter windowsupdate.com anbietet (zwecks Installationen muss jedoch ActiveX aktiviert sein !). Auch wenn es unbequem ist, JavaScript und alle ActiveX Optionen im Browser deaktivieren.
Wir von Trojaner-Info haben schon lange damit gerechnet, dass Dialer auch auf diese sehr kriminelle Art und Weise versucht werden in den Umlauf zu setzen. Gehofft haben wir es jedoch nie.
Wir bedanken uns bei Andreas Marx (av-test.de) der uns bei der Analyse behilflich gewesen ist.
Ein weiterer Dank auch an Sascha Borowski, Betreiber der Webseite dialerschutz.de, der uns Informationsmaterial zwecks weiterer Recherchen zur Verfügung gestellt hat.
