Die neuen "selbstlöschenden" Dialer:
So schützen Sie sich, so wehren Sie sich
<tt>Eine gemeinsame Veröffentlichung von dialerhilfe.de und dialerschutz.de</tt>
(21.07.03) Sie sorgen für Unruhe in der Internetgemeinde und für ein großes Medienecho: Vor kurzem wurde erstmals von einem Antiviren-Hersteller offiziell bestätigt, dass es "selbstlöschende" Dialer gibt. Seitdem überschlagen sich die Berichte von Usern über "Begegnungen" mit dem trojanerähnlichen Einwahlprogramm. Ganz bewusst haben dialerhilfe.de und dialerschutz.de zunächst keine Warnung ausgesprochen und sich auch mit einer Kommentierung zurückgehalten. Stattdessen haben die Teams von dialerschutz.de und dialerhilfe.de in enger Zusammenarbeit die Berichte ausgewertet und – vor allem - eigene Nachforschungen angestellt. Unsere vorläufigen Erkenntnisse haben wir in den nachfolgenden wichtigsten Fragen und Antworten für Sie zusammengefasst.
1. Was ist ein "selbstlöschender" Dialer?
Es handelt sich um einen Dialer, die nach der - unter Umständen automatischen - Installation auf dem PC des Betroffenen eine hochtarifierte Nummer (01908 = 1,86 Euro/Minute) anwählt. Diese Anwahl geschieht ohne bewusstes Zutun des Users. Anschließend vernichtet der Dialer sich selbst sowie fast alle Spuren, die auf seine Existenz auf dem PC hinweisen könnten. Betroffen von dieser Löschung sind sowohl die Datei selbst als auch History (Verlauf), Cookies und Cache-Speicher des Browsers. Zurück bleibt lediglich eine tmp-Datei - die sich allerdings durch einfaches Umbenennen in den Dialer zurückverwandeln lässt.
Das Programm wurde vom Antivirenhersteller Network Associated als Trojaner eingestuft und QDial11 getauft. Eine Reihe von Indizien und Parallelen lässt es als ziemlich sicher erscheinen, dass exakt dieser Dialer unter dem Namen teenxxx im Internet grassiert.
2. Wie laufen Installation, Einwahl und "Selbstzerstörung" genau ab?
Derzeit sind vier verschiedene Varianten der Installation nachgewiesen:
- manueller Download der exe-Datei
- ActiveX Installation und automatischer Start der exe-Datei
- Automatische Installation über ActiveX-Autoloader
- Ausnutzung einer Java-Sicherheitslücke in Windows (Patch existiert)
Nach der Installation schaltet der Dialer mögliche vorhandene Schutzprogramme ab und wählt eine 01908-Nummer. Anschließend erfolgt die Selbstzerstörung, wobei eine tmp-Datei nach dem Schema zahl.tmp (z.B. 13.tmp) im Temp-Ordner zurückbleibt.
Sofern die Einwahl nicht erfolgreich abgeschlossen wurde, verbleibt im Root-Verzeichnis C:\ eine exe-Datei nach dem Schema zahl.exe. Diese heißt 1971.exe oder ähnlich.
3. Wie werden diese Dialer verbreitet?
Selbstzerstörende Dialer sind offenbar vor allem hinter so genannten TGPs (Thumbnail Gallery Post) versteckt. Unter TGPs versteht man Bildergallerien mit – meist – erotischen Inhalten. Der Zugriff darauf ist in der Regel kostenlos und soll User auf kostenpflichtige Webseiten locken. In mehreren uns bekannten Fällen führte ein Klick auf einen der Links in Erotik-TGPs zu einer präparierten Webseite, die keinen Domainnamen, sondern nur eine IP-Nummer als Adresse hat. Dort startete der Download des selbstzerstörenden Dialers.
Theoretisch denkbar, wenn auch bislang nicht belegt, sind Verbreitungswege wie Spamming per Mail, Tauschbörsen oder andere entsprechend präparierte Webseiten.
4. Wer ist der Hersteller und Verbreiter dieser Dialer?
Dies ist bislang nicht bekannt und Gegenstand polizeilicher Ermittlungen. Dialerhilfe.de und dialerschutz.de liegt eine von Central24 signierte Version des Dialer, und eine von Central24 signierte Version des verwendeten Autoloaders vor. Inwieweit hier ein Zusammenhang hergestellt werden kann oder muss, kann von uns nicht beurteilt werden.
5. Welche Nummern werden angewählt?
In den uns vorliegenden Fällen wurden 01908-Nummern angewählt, die im Bestand der Deutschen Telekom AG liegen. Eine der Nummern, die 01908-72833, wurde nach Intervention des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zwischenzeitlich abgeschaltet. Bekannt ist uns auch die Verwendung der Nummern 01908-73212 und 01908-74370.
6. Woran erkenne ich, dass ich Opfer eines solchen Dialers geworden bin?
Bei gleichzeitigem Auftreten folgender Symptome ohne Ihr bewusstes Zutun sollten Sie misstrauisch werden:
- Der Cookies-Ordner Ihre Browsers ist leer
- Der Verlauf Ihre Browsers ist leer
- Die Temporären Internet Dateien (Cache) sind verschwunden
- Sie finden im Temp-Ordner eine Datei nach dem Schema zahl.tmp.
Welches Verzeichnis das Letztere genau ist hängt von Windows-Version und Konfiguration ab. Bei Win2k und XP hat jeder User sein eigenes Temp-Verzeichnis. Wo dieses liegt kann der Dialer offenbar aus der Registry und aus der Systemumgebungsvariable TEMP auslesen. Normalerweise ist es C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp.
- unbekannte 01908-Einwahl auf Ihrer Telefonrechnung.
7. Was muss ich als Betroffener unternehmen?
Beweis dafür, dass Sie Opfer dieses Dialers geworden ist, ist die tmp-Datei. Diese Datei - nach dem Schema zahl.tmp - lässt sich durch einfaches Umbenennen in zahl.exe in den Dialer zurückverwandeln. Sie finden die Datei entweder unter C:\ oder im Temp-Ordner. Diese genau 16,384 Bytes große Datei muss dringend auf Diskette oder CD gesichert werden. Unter XP besteht die Möglichkeit, dass man eine Kopie des Dialers auch im Ordner Window\Prefetch findet.
Am sichersten ist es natürlich, Sie sichern die gesamte Festplatte, ohne noch einmal etwas daran zu ändern. Sofern bekannt, sollten Sie auch die betreffende Webseite (URL) notieren sowie den Zeitpunkt des Befalls.
Erstatten Sie mit diesen Daten und Beweisen Strafanzeige gegen Unbekannt bei Ihrer nächstgelegenen Kriminalpolizei-Dienststelle. Informieren Sie zudem per Mail das für Sie zuständige Landeskriminalamt über Ihre Anzeigeerstattung. Nur so können die Ermittler das Ausmaß des Betruges erkennen.
Als finanziell Geschädigter können wir in diesem Fall nur dazu raten, die Zahlung der aufgelaufenen Einwahlgebühren zu verweigern. Weitere Hinweise zum Vorgehen finden Sie unter "Was tun bei Schaden" auf dialerhilfe.de.
8. Wie kann ich mich vor selbstlöschenden Dialern schützen?
Schalten Sie in den Sicherheitseinstellungen Ihres Internet Explorers alle ActiveX-Optionen ab und deaktivieren Sie Java. Damit müssen Sie allerdings in Kauf nehmen, dass viele - seriöse - Webseiten nicht, oder nicht mehr vollständig funktionieren.
Die meisten Schutzprogramme bieten in diesem Fall keinen Schutz, da sie von dem Dialer deaktiviert werden. Betroffen sind unter anderem 0190Alarm, 0190Killer, 0190Warner, Smart Surfer und DialerControl.
Sicherer ist auf jeden Fall eine Rufnummernsperre oder eine Hardware-Lösung als Einwahlschutz.
9. Wie sind die vorliegenden selbstlöschenden Dialer rechtlich zu werten?
Eine offizielle rechtliche Bewertung, etwa durch eine Staatsanwaltschaft, liegt noch nicht vor. Wir gehen davon aus, dass hier zumindest der Straftatbestand des Betruges (§ 263 StGB) und des Computerbetruges (263a StGB) erfüllt sind. Zu prüfen ist weiterhin, ob auch eine Datenveränderung (§ 303a StGB), bzw. bei betroffenen Firmen und Unternehmen eine Computersabotage (§ 303b StGB) vorliegt.
So schützen Sie sich, so wehren Sie sich
<tt>Eine gemeinsame Veröffentlichung von dialerhilfe.de und dialerschutz.de</tt>
(21.07.03) Sie sorgen für Unruhe in der Internetgemeinde und für ein großes Medienecho: Vor kurzem wurde erstmals von einem Antiviren-Hersteller offiziell bestätigt, dass es "selbstlöschende" Dialer gibt. Seitdem überschlagen sich die Berichte von Usern über "Begegnungen" mit dem trojanerähnlichen Einwahlprogramm. Ganz bewusst haben dialerhilfe.de und dialerschutz.de zunächst keine Warnung ausgesprochen und sich auch mit einer Kommentierung zurückgehalten. Stattdessen haben die Teams von dialerschutz.de und dialerhilfe.de in enger Zusammenarbeit die Berichte ausgewertet und – vor allem - eigene Nachforschungen angestellt. Unsere vorläufigen Erkenntnisse haben wir in den nachfolgenden wichtigsten Fragen und Antworten für Sie zusammengefasst.
1. Was ist ein "selbstlöschender" Dialer?
Es handelt sich um einen Dialer, die nach der - unter Umständen automatischen - Installation auf dem PC des Betroffenen eine hochtarifierte Nummer (01908 = 1,86 Euro/Minute) anwählt. Diese Anwahl geschieht ohne bewusstes Zutun des Users. Anschließend vernichtet der Dialer sich selbst sowie fast alle Spuren, die auf seine Existenz auf dem PC hinweisen könnten. Betroffen von dieser Löschung sind sowohl die Datei selbst als auch History (Verlauf), Cookies und Cache-Speicher des Browsers. Zurück bleibt lediglich eine tmp-Datei - die sich allerdings durch einfaches Umbenennen in den Dialer zurückverwandeln lässt.
Das Programm wurde vom Antivirenhersteller Network Associated als Trojaner eingestuft und QDial11 getauft. Eine Reihe von Indizien und Parallelen lässt es als ziemlich sicher erscheinen, dass exakt dieser Dialer unter dem Namen teenxxx im Internet grassiert.
2. Wie laufen Installation, Einwahl und "Selbstzerstörung" genau ab?
Derzeit sind vier verschiedene Varianten der Installation nachgewiesen:
- manueller Download der exe-Datei
- ActiveX Installation und automatischer Start der exe-Datei
- Automatische Installation über ActiveX-Autoloader
- Ausnutzung einer Java-Sicherheitslücke in Windows (Patch existiert)
Nach der Installation schaltet der Dialer mögliche vorhandene Schutzprogramme ab und wählt eine 01908-Nummer. Anschließend erfolgt die Selbstzerstörung, wobei eine tmp-Datei nach dem Schema zahl.tmp (z.B. 13.tmp) im Temp-Ordner zurückbleibt.
Sofern die Einwahl nicht erfolgreich abgeschlossen wurde, verbleibt im Root-Verzeichnis C:\ eine exe-Datei nach dem Schema zahl.exe. Diese heißt 1971.exe oder ähnlich.
3. Wie werden diese Dialer verbreitet?
Selbstzerstörende Dialer sind offenbar vor allem hinter so genannten TGPs (Thumbnail Gallery Post) versteckt. Unter TGPs versteht man Bildergallerien mit – meist – erotischen Inhalten. Der Zugriff darauf ist in der Regel kostenlos und soll User auf kostenpflichtige Webseiten locken. In mehreren uns bekannten Fällen führte ein Klick auf einen der Links in Erotik-TGPs zu einer präparierten Webseite, die keinen Domainnamen, sondern nur eine IP-Nummer als Adresse hat. Dort startete der Download des selbstzerstörenden Dialers.
Theoretisch denkbar, wenn auch bislang nicht belegt, sind Verbreitungswege wie Spamming per Mail, Tauschbörsen oder andere entsprechend präparierte Webseiten.
4. Wer ist der Hersteller und Verbreiter dieser Dialer?
Dies ist bislang nicht bekannt und Gegenstand polizeilicher Ermittlungen. Dialerhilfe.de und dialerschutz.de liegt eine von Central24 signierte Version des Dialer, und eine von Central24 signierte Version des verwendeten Autoloaders vor. Inwieweit hier ein Zusammenhang hergestellt werden kann oder muss, kann von uns nicht beurteilt werden.
5. Welche Nummern werden angewählt?
In den uns vorliegenden Fällen wurden 01908-Nummern angewählt, die im Bestand der Deutschen Telekom AG liegen. Eine der Nummern, die 01908-72833, wurde nach Intervention des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zwischenzeitlich abgeschaltet. Bekannt ist uns auch die Verwendung der Nummern 01908-73212 und 01908-74370.
6. Woran erkenne ich, dass ich Opfer eines solchen Dialers geworden bin?
Bei gleichzeitigem Auftreten folgender Symptome ohne Ihr bewusstes Zutun sollten Sie misstrauisch werden:
- Der Cookies-Ordner Ihre Browsers ist leer
- Der Verlauf Ihre Browsers ist leer
- Die Temporären Internet Dateien (Cache) sind verschwunden
- Sie finden im Temp-Ordner eine Datei nach dem Schema zahl.tmp.
Welches Verzeichnis das Letztere genau ist hängt von Windows-Version und Konfiguration ab. Bei Win2k und XP hat jeder User sein eigenes Temp-Verzeichnis. Wo dieses liegt kann der Dialer offenbar aus der Registry und aus der Systemumgebungsvariable TEMP auslesen. Normalerweise ist es C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp.
- unbekannte 01908-Einwahl auf Ihrer Telefonrechnung.
7. Was muss ich als Betroffener unternehmen?
Beweis dafür, dass Sie Opfer dieses Dialers geworden ist, ist die tmp-Datei. Diese Datei - nach dem Schema zahl.tmp - lässt sich durch einfaches Umbenennen in zahl.exe in den Dialer zurückverwandeln. Sie finden die Datei entweder unter C:\ oder im Temp-Ordner. Diese genau 16,384 Bytes große Datei muss dringend auf Diskette oder CD gesichert werden. Unter XP besteht die Möglichkeit, dass man eine Kopie des Dialers auch im Ordner Window\Prefetch findet.
Am sichersten ist es natürlich, Sie sichern die gesamte Festplatte, ohne noch einmal etwas daran zu ändern. Sofern bekannt, sollten Sie auch die betreffende Webseite (URL) notieren sowie den Zeitpunkt des Befalls.
Erstatten Sie mit diesen Daten und Beweisen Strafanzeige gegen Unbekannt bei Ihrer nächstgelegenen Kriminalpolizei-Dienststelle. Informieren Sie zudem per Mail das für Sie zuständige Landeskriminalamt über Ihre Anzeigeerstattung. Nur so können die Ermittler das Ausmaß des Betruges erkennen.
Als finanziell Geschädigter können wir in diesem Fall nur dazu raten, die Zahlung der aufgelaufenen Einwahlgebühren zu verweigern. Weitere Hinweise zum Vorgehen finden Sie unter "Was tun bei Schaden" auf dialerhilfe.de.
8. Wie kann ich mich vor selbstlöschenden Dialern schützen?
Schalten Sie in den Sicherheitseinstellungen Ihres Internet Explorers alle ActiveX-Optionen ab und deaktivieren Sie Java. Damit müssen Sie allerdings in Kauf nehmen, dass viele - seriöse - Webseiten nicht, oder nicht mehr vollständig funktionieren.
Die meisten Schutzprogramme bieten in diesem Fall keinen Schutz, da sie von dem Dialer deaktiviert werden. Betroffen sind unter anderem 0190Alarm, 0190Killer, 0190Warner, Smart Surfer und DialerControl.
Sicherer ist auf jeden Fall eine Rufnummernsperre oder eine Hardware-Lösung als Einwahlschutz.
9. Wie sind die vorliegenden selbstlöschenden Dialer rechtlich zu werten?
Eine offizielle rechtliche Bewertung, etwa durch eine Staatsanwaltschaft, liegt noch nicht vor. Wir gehen davon aus, dass hier zumindest der Straftatbestand des Betruges (§ 263 StGB) und des Computerbetruges (263a StGB) erfüllt sind. Zu prüfen ist weiterhin, ob auch eine Datenveränderung (§ 303a StGB), bzw. bei betroffenen Firmen und Unternehmen eine Computersabotage (§ 303b StGB) vorliegt.
