A
Anonymous
Hab gestern eine Spammail bekommen, an der eine "steffi-jpg.com" hing, war aufgemacht wie eine Kontaktanzeigenantwort.
Soweit alles normal.
Jetzt kommen die Auffälligkeiten:
Das Teil war UPX-gepackt (gepackt ca 23 KByte, entpackt 42 KByte)
Schnüffeln mit dem Hexeditor hat ergeben, daß am Ende des Dialers meine Mailadresse mit einkompiliert ist(sic!).
Ein Versuch auf einem "InselPC" bestätigt den Dialerverdacht (wollte über serielles Nullmodem raus, endet mit Fehler 630, es kommt KEINE Abfrage).
Über eine Stringsuche habe ich leider keine Rufnummer gefunden, es gibt allerdings einen URL, den der Dialer aufrufen möchte (xyz.de/m/index.php?id=variable).
Eine Whois-Abfrage bei der Denic klappt und liefert eine deutsche ladungsfähige Adresse.
Jetzt meine Fragen:
Kann jemand mit mehr Ahnung vom Aufbau eines Dialers das Teil mal analysieren (Rufnummer etc)?
Sind die Leute, die diesen Dialer? verbrochen haben, hier bekannt (ich nenne jetzt keine Namen, erst nach Rückmeldung)?
Im URL befinden sich Variablen, kriegt man raus, wie die sich zusammensetzen?
Falls sich jemand mit solchen sachen auskennt und weiterhelfen möchte, melde ich mich per Mail oder PN.
Danke.
Soweit alles normal.
Jetzt kommen die Auffälligkeiten:
Das Teil war UPX-gepackt (gepackt ca 23 KByte, entpackt 42 KByte)
Schnüffeln mit dem Hexeditor hat ergeben, daß am Ende des Dialers meine Mailadresse mit einkompiliert ist(sic!).
Ein Versuch auf einem "InselPC" bestätigt den Dialerverdacht (wollte über serielles Nullmodem raus, endet mit Fehler 630, es kommt KEINE Abfrage).
Über eine Stringsuche habe ich leider keine Rufnummer gefunden, es gibt allerdings einen URL, den der Dialer aufrufen möchte (xyz.de/m/index.php?id=variable).
Eine Whois-Abfrage bei der Denic klappt und liefert eine deutsche ladungsfähige Adresse.
Jetzt meine Fragen:
Kann jemand mit mehr Ahnung vom Aufbau eines Dialers das Teil mal analysieren (Rufnummer etc)?
Sind die Leute, die diesen Dialer? verbrochen haben, hier bekannt (ich nenne jetzt keine Namen, erst nach Rückmeldung)?
Im URL befinden sich Variablen, kriegt man raus, wie die sich zusammensetzen?
Falls sich jemand mit solchen sachen auskennt und weiterhelfen möchte, melde ich mich per Mail oder PN.
Danke.
