Betrug mit 0190-Dialern: archäologische Studien

A

Aka-Aka

Chaostheoretiker
Die beiden Männer hatten in der Zeit von Dezember 2001 bis Mai 2002 über Erotikseiten manipulierte 0190-Dialer verbreitet, die sich ohne Wissen der betroffenen User ins Netz einwählten.
Zum Vergrößern anklicken....
Ich habe mir mal eben so ein Teil vom Mai 2002 angeschaut, aus dem Giftschrank. Ich krieg den blöden Dialer aber nicht zum Laufen :(

Ich hätte so gerne ein Bild davon präsentiert...
 

Anhänge

  • cuwin_eops_1.jpg
    cuwin_eops_1.jpg
    19,8 KB · Aufrufe: 298
  • eops_xdiver2.jpg
    eops_xdiver2.jpg
    20,3 KB · Aufrufe: 275
AW: Betrug mit 0190-Dialern: Tätern nach acht Jahren verurteilt

Da will man morgens Mails abrufen, fliegt so'n X-Diver im Autostart daher. Kann sich noch jemand erinnern, wie man diesen upx-gepackten Teilchen ihre Geheimnisse entlockt? Na, mir fällt es auswendig nicht mehr ein...

Wer mag, kann das als txt gespeicherte Teilchen ja mal ankucken.
cu650978859.exe : INFECTED with W32/Obfuscated (Signature: W32/Dialer)


[ DetectionInfo ]
* Filename: C:\analyzer\scan\cu650978859.exe.
* Sandbox name: W32/Obfuscated.FA.
* Signature name: W32/Dialer.VHO.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.

[ General information ]
* Decompressing UPX.
* Drops files in %WINSYS% folder.
* File length: 60800 bytes.
* MD5 hash: 094a2e2083f125028220b3f27838ed82.
* SHA1 hash: e338c5966905b9c9e9969e43a3a382eb0eb8a839.
* Packer detection: W32/UPX.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\system32\CUWIN32.EXE.
* Creates file C:\WINDOWS\system32\CUWIN32.SID.
* Deletes file C:\WINDOWS\system32\CUWIN32.EXE.

[ Process/window information ]
* Attempts to (null) C:\WINDOWS\system32\CUWIN32.EXE (null).
* Creates process "CUWIN32.EXE".

[ Signature Scanning ]
* C:\WINDOWS\system32\CUWIN32.EXE (60800 bytes) : W32/Dialer.VHO.
* C:\WINDOWS\system32\CUWIN32.SID (4 bytes) : no signature detection.



(C) 2004-2010 Norman ASA. All Rights Reserved.
Zum Vergrößern anklicken....
 

Anhänge

  • x-diver autostart.jpg
    x-diver autostart.jpg
    9,4 KB · Aufrufe: 263
  • cu650978859.txt
    cu650978859.txt
    59,4 KB · Aufrufe: 264
AW: Betrug mit 0190-Dialern: archäologische Studien

upx -d -o [zieldatei] [quelldatei]

Das Teil, das ich da habe, ist aber wohl eine Art "Basis-Version" und bekommt seine Parameter von anderer Stelle. Das steht auch so im Quelltext der Seite, wo ich das Ding herhabe.

Ich habe das damals archiviert, weil ich ja in Sachen TSCash geforscht habe - und in der Datenbank des TSCash fanden sich Einträge von EOPS.

Danke für die Abtrennung.
Was bedeutet das eigentlich?
Teleaction Services aus Oberursel? Nie gehört...
X-Diver

(genau das hat mich ja damals schon gewundert, dass internationale Anti-Schädlingsseiten TSCash, X-Diver u.a. immer zusammen geschmissen haben)
 

Anhänge

  • xdiver.jpg
    xdiver.jpg
    51,4 KB · Aufrufe: 295
AW: Betrug mit 0190-Dialern: archäologische Studien

Aka-Aka schrieb:
Ich habe das damals archiviert, weil ich ja in Sachen TSCash geforscht habe - und in der Datenbank des TSCash fanden sich Einträge von EOPS.
Zum Vergrößern anklicken....
Der Dialer wählt die 0190-842795.

Nach der Einwahl will er zu: camtempel.de/multixxx/site2279.html?P=<Password>

Password ist: aaspV550576N15W0

Im Binärcode erfolgt irgendwo eine "Altersverifikation". Dazu muss man eine Personalausweisnummer eintippen. Die Daten werden gesendet an: merchant.eops.de/cg-bin/dialer/*** für "softteen.de"

Altes Impressum von EOPS: Coolspot AG -
 
Zurück
Oben