090090000957, 0037270220302, evt. 090090000958

TSCoreNinja

Mitglied
Liebe Dialergeschaedigte,

Quizfrage: was hat die Premiumrufnummer 0900-9000957 mit der Rufnummer 0037270220302 gemeinsam?

Antwort: den Dialer, siehe Attachment.
Hashwert: e59c4d113f9dba18abd9e28c6d4340ac0e3b2f43
nicht registriert.

Das ganze kam durch einen Exploit zustande. Dabei wurden ein paar Icons auf dem Desktop angelegt, die ich hier angeklickt habe. Leider konnte (nach kurzer vorlaeufiger Analyse des Codes mit einem Debugger) die nette, dazugeladene svchost.exe, nicht die aktuelle Einwahlverbindung veraendern, schliesslich sitze ich nicht hinter einem Modem. Sonst wuerde ich vermutlich dort die Rufnummer 090090000958 finden, wenn man Alex glaubt, von Ihm habe ich die Einwahl URL. Das Ganze funktioniert ueber einen Microsoft Helpfile Exploit...

Ach ja, noch ein paar Rufnummern aus dem Dialer
Code:
0906998998
ConnInt5
090336250
9096423870
00569003682
002463471710
00423663098486
899023705
09060400034
011423663098499
00423663098499
0088213331101
907600187
0930824835
002463471800

Screenshot des Ethereal-Logs des Downloadvorgangs (meine und Download IP unkenntlich) ebenfalls angehaengt.

AVI des Einwahlvorgangs gibts wie immer unter
http://de.geocities.com/tscoreninja/

Edit: Ach ja, nicht vergessen, Yahoo macht irgendwann mal wg Bandbreite dicht, dann etwas spaeter versuchen, meist geht es eine Stunde spaeter

Gr,
TSCoreNinja

PS: genauere Analyse demnaechst, kann allerdings etwas dauern.
 

Anhänge

  • 90090000957.jpg
    90090000957.jpg
    64,8 KB · Aufrufe: 373
  • ethereal.jpg
    ethereal.jpg
    66,1 KB · Aufrufe: 338
TSCoreNinja schrieb:
Leider konnte (nach kurzer vorlaeufiger Analyse des Codes mit einem Debugger) die nette, dazugeladene svchost.exe, nicht die aktuelle Einwahlverbindung veraendern, schliesslich sitze ich nicht hinter einem Modem. Sonst wuerde ich vermutlich dort die Rufnummer 090090000958 finden, wenn man Alex glaubt, von Ihm habe ich die Einwahl URL.

Ach ja, aus der SVCHOST.exe:
Code:
INFORMATION: This prog totally fucks up your modem connection, be sure to make a new connection after running this program, otherwise it may be xpensive....
 
Nummern

Die vorletzte Nummer aus der Liste

0930824835

sieht wie eine österreichische Mehrwertnummer aus. Eine so lautende österreichische Nummer ist laut Register bei www.rtr.at auch tatsächlich vergeben.

Es kann sich aber natürlich auch um einen reinen Zufall bzw. eine zufällige Nummerngleichheit handeln.
 
Re: Nummern

Anonymous schrieb:
Die vorletzte Nummer aus der Liste

0930824835

sieht wie eine österreichische Mehrwertnummer aus. Eine so lautende österreichische Nummer ist laut Register bei www.rtr.at auch tatsächlich vergeben.

Es kann sich aber natürlich auch um einen reinen Zufall bzw. eine zufällige Nummerngleichheit handeln.

nöö, das passt... die schweizer Nr ist DDDCOM
 
dotshead schrieb:
Wie jetzt Microsoft Helpfile Exploit? :holy:
Ich dachte die MS-Sicherheitsoffensive hätte endlich gegriffen?
Nun ja, es dauert scheinbar, die Dialerschleudern, auf die aktuellsten Exploits umzustellen, ebenso wie es dauert, bis die User ihren IE aktuellisiert haben (hab neulich meinen IE mit 46MB Patches versorgt, dass machst Du nicht mehr uebers Modem....)
Gr,
TSCN

PS: Wen es interessiert, suche mal nach "chm" und "exe" "ms-its", da findet man zig Hijackthislogs mit entsprechenden Exploits
 
Beschreibung Exploit

Am WE habe ich etwas Zeit abgeknapst, um die Vorgaenge zu dokumentieren, ist eben Richtung RegTP herausgegangen. Wen es interessiert, hier ist die um die URLs gebrachte Version (wg NUBs unkenntlich gemacht). Wer betroffen ist, kann gerne das komplette Dokument haben fuer seinen Widerspruch, dann bitte PN.
Ansonsten hat sich meine Vermutung bestaetigt, dass die svchost.exe die Rufnummer 090090000958 bedient. Und mal wieder die Warnung: wenn schon IE, dann auf dem neusten Stand, dann waere dies nicht passiert (meines Wissens...)

Gr,
TSCoreNinja

PS: mein Netzzugang innerhalb der naechsten Woche ist ungewiss, da auf Reisen...
 

Anhänge

  • 90090000957_zens.pdf
    350,7 KB · Aufrufe: 606
Ach ja, wen es interessiert:

Rufnummern Oesterreich:
0930838880
0930828688
0930824831
0930824832
0930824833
0930824835
0930824836
registriert durch Mobilkom Liechtenstein, http://www.mobilkom.li/

Rufnummern Schweiz:
006909141
0067749241
0068261341
0068266153
0068829341
00239202302
00239202914
00239202964
00239203114
00239203164
00239203214
00239203264

Rufnummern Great Britan:
0056113580
0056113581
0056113582
0056113583

Rufnummern Niederlande:
0068261300
0068263000
09062001609

Rufnummern Frankreich:
006832540
006909351
0067749451
0068261551
0068829551
00239201414
002463472401
(plus ein paar mehr mit gleihcer Vorwahl)

Rufnummern US:
18009330308
101073501146856313113
Gr,
TSCN
 
Strananzeige zu 0900-90000957/58

Hallo Forum !!!

Als Polizeibeamter habe ich gestern eine Anzeige (guter Bekannter) zum o.g. Dialer aufgenommen. Dank diesem Forum bin ich schon etwas schlauer geworden und habe mir den Rechner genauestens angesehen.
Da ich schon mit den ersten PC aufgewachsen bin, traue ich mich natürlich auch an die Registry und alles andere heran.

Derzeitiger Stand:

Dialer schreibt sich in das Windows-Root-Verzeichnis (dialerx.exe)
Anschließend werden zwei kleine Verknüpfungen erstellt.
Die T-DSL Leitung wurde gekappt (wie auch immer), das T-Online Einwählprogramm komplett außer Kraft gesetzt, läßt sich (derzeit) nicht restaurieren.
Die Registry wurde erheblich verändert.
0190-Warner schlägt sofort an und teilt o.g. Nummer als Einwählnummer mit, kann diese jedoch nicht entfernen.

Alle Dateien von mir gesichert, als Beweis gut zu gebrauchen.
Sämtliche Versuche, den Dialer zu de-installieren, schlugen bisher fehl (Windows XP Prof.). Werde daher die Festplatte meines Bekannten formatieren, was bleibt auch sonst.....

Telekom und Reg-Behörde in Kenntnis gesetzt.

Angeraten, Rechnung zu stornieren und nur die "echten" Kosten zu überweisen...

Gut, wenn man nen Schutzmann kennt (gröhl).....kann man doch etwas mehr erreichen.


CU all............Dierk
 
Ich kann die Videos nicht herunterladen. Hol dir doch bitte anderen Space als Geocities. Bei Mozilla passiert nix, mit Bitbeamer kommt "Zugriff verweigert", im IE kommt "Server oder DNS kann nicht gefunden werden".
 
Die für diesen Film verantwortliche Person ist möglicherweise einer unserer Geschäftskonkurrenten. ( oder jemand der für die Konkurenz arbeitet )

Wie auch immer: Das Wichtigste ist, dass der Film eine Fälschung ist! .

Erstens: Der Film zeigt kein lebendiges Szenarium. Das misteriöse exe-File wurde bereits runtergeladen auf die Harddisk des “Filmproduzenten”.

Nur ein Dummkopf würde zuerst ein Programm von dem Internet herunterladen, danach die Videokamera nehmen und das gleiche Programm diesmal aber von seiner eigenen Harddisk starten. Warum filmt er nicht den ersten Download , den er direkt vom Internet angeblich gemacht hat ?

Es hätte somit einen seriöseren Eindruck gemacht und warum hat er dies nicht getan ?
Die Antwort ist einfach: es ist ein Schwindel. Der “Filmproduzent” benutzt keines unserer exe-Files in dieser Filmfälschung. Es ist sein eigenes exe-File (oder seines Unternehmens wofür er arbeitet).

Der Shortcut-icon auf der Arbeitsfläche führt ein Programm aus , das beim “Filmproduzenten" C:\WINNT\map dialerX. File genannt wird. Der Name des Programms ist NICHT der gleiche wie in unserer exe-Programm-File. Es ist schlichtweg nicht unser Programm.

Beim Aufrufen der Webseite erscheint kein Inhalt, weil er kein gültig eingewähltes Programm über unseren Server benutzt . Jeder kann eine URL eingeben und die Start-Seite sehen.

Der Schwindel ist offensichtlich, denn alle technischen Szenarien im Film sind lokal oder auf einem eigenen Computer gemacht worden . Nicht LIVE im Internet!

Es ist eine offzielles Strafdelikt, jemanden falsch zu beschuldigen und wir werden dies zur Anzeige bringen.
 
Anonymous schrieb:
.... und wir werden dies zur Anzeige bringen.
... und wir bitten darum! Da zum derzeitigen Stand der Dinge womöglich kein strafrechtliches Verhalten erkannt werden kann, werden Ermittlungen von Amts wegen aller Wahrscheinlichkeit nach nicht einsetzen. Wo auch und vor allem von wem?
 
Anonymous schrieb:
Der Schwindel ist offensichtlich, denn alle technischen Szenarien im Film sind lokal oder auf einem eigenen Computer gemacht worden . Nicht LIVE im Internet!
Ich bin selbst in den zweifelhaften Genuß einer Matlock-bedialerten Seite gekommen. Die Seite war ein voller Fake. Mit dunkelgrauer Schrift auf schwarzem Grund war die Seite mit allen möglichen Suchworten vollgeschrieben (nennt sich Suma-Spam). Unscheinbare Hinweise dunkelgrau auf schwarz auf die Kosten. Der Schwindel war hier tatsächlich offensichtlich - auf eurer Seite.
 
Anonymous schrieb:
Erstens: Der Film zeigt kein lebendiges Szenarium. Das misteriöse exe-File wurde bereits runtergeladen auf die Harddisk des “Filmproduzenten”.

Nur ein Dummkopf würde zuerst ein Programm von dem Internet herunterladen, danach die Videokamera nehmen und das gleiche Programm diesmal aber von seiner eigenen Harddisk starten. Warum filmt er nicht den ersten Download , den er direkt vom Internet angeblich gemacht hat ?

Es hätte somit einen seriöseren Eindruck gemacht und warum hat er dies nicht getan ?
Die Antwort ist einfach: es ist ein Schwindel. Der “Filmproduzent” benutzt keines unserer exe-Files in dieser Filmfälschung. Es ist sein eigenes exe-File (oder seines Unternehmens wofür er arbeitet).

Der Shortcut-icon auf der Arbeitsfläche führt ein Programm aus , das beim “Filmproduzenten" C:\WINNT\map dialerX. File genannt wird. Der Name des Programms ist NICHT der gleiche wie in unserer exe-Programm-File. Es ist schlichtweg nicht unser Programm.

Beim Aufrufen der Webseite erscheint kein Inhalt, weil er kein gültig eingewähltes Programm über unseren Server benutzt . Jeder kann eine URL eingeben und die Start-Seite sehen.

Der Schwindel ist offensichtlich, denn alle technischen Szenarien im Film sind lokal oder auf einem eigenen Computer gemacht worden . Nicht LIVE im Internet!

Es ist eine offzielles Strafdelikt, jemanden falsch zu beschuldigen und wir werden dies zur Anzeige bringen.
Ja, das Szenario ist nachgestellt. Allerdings ist das Szenario nur deshalb, weil ich nicht eine unsichere IE Version installieren wollte. Fakten bleiben:
-dies funktioniert bei nicht aktualisiertem Exploit aus dem Web, siehe technische Beschreibung im PDF
-ich habe keinerlei geschaeftlichen Interessen daran, das hier ist reines(!) Hobby
Bin leider eine Woche weg, auf Konferenz. Wenns dem Forum hilft, so lange den Thread einfrieren!
Gr,
TSCN
 
Zurück
Oben