heise.de: "Dialer-Anbieter verteilt Trojaner"

Re: Dialer-Anbieter verteilt Trojaner

Falk schrieb:
Installiert man die Software, so präsentiert sich in der Tat eine AGB, die es in sich hat: der Kunde stimmt unter anderem zu, dass Popups und Werbung ... eingeblendet werden,
...
"Diese Aufzählung ist ausdrücklich nicht vollständig und kann jederzeit den technischen Anforderungen entsprechend geändert werden."
...
"Durch die Installation der Software können weitere Kosten Dritter entstehen."

Zusammenfassend: mit der Zustimmung zu den AGB erlaubt man dem Programm praktisch alles.
Diese AGB sind mE überraschend und damit nicht Vertragsbestandteil. MD maßt sich mit diesen 'AGB' ein umfassendes Nutzungsrecht des PCs an. Damit muß niemand rechnen, der nur ein Stück Software installiert.
 
Ich weiß nicht, ob es historisch überliefert ist, ob die Griechen AGBs an das trojanische Pferd geheftet hatte, welches die Trojaner erst anerkennen mussten, bevor sie das hölzerne Pferd in ihre Stadt schleppen durften.

Jedenfalls waren sie in einem deutlichen Irrtum über Sinn und Zweck des Geschenkes. Natürlich hatten sie zugelassen, dass die Schenkenden "alles" mit ihrem Geschenk machen konnten, was vorher nicht so deutlich beschrieben und angekündigt war.

Namensgebend sind die Eigenschaft des Toröffners und das Vorhandensein einer verborgenen Funktion, die dem Beschenkten unbekannt ist und ihm jedenfalls nicht nützt.

Das Angebot, das Plugin zu installieren, wurde auch an Kinder und Jugendliche gerichtet. Diese konnten die Gefahr vermutlich noch weniger erkennen.

Dietmar Vill
 
Counselor schrieb:
drboe schrieb:
Bot-Netze sind dabei eine massive Bedrohung der Infrastruktur. Insofern stimmen die Kassandrarufe, nämlich dass die Kriminalität im Internet zunimmet.
Es sind nicht nur Kassandrarufe, sondern das trojanische Pferd war schon da.
Du hast meine Bemerkung vermutlich missverstanden: das Lamento von Politikern und Sicherheitsbehörden über die steigende Kriminalität im Netz wird vor allem an den Punkten Kindesmissbrauch, rechtsradikale Propaganda und Urheberrechtsverletzungen festgemacht. Nun zeigt sich aber, dass die wirkliche kriminelle Bedrohung von Leuten kommt, die ganz andere Dinge im Kopf haben. Dinge, mit denen sich vuiel Geld verdinenen läßt. Und dazu zählen natürlich die von Dir genannten Aktivitäten. Wer viele PC im Netz nach seiner Pfeife tanzen lassen und für spam oder DDoS etc .einsetzen kann, kann diese Dienste natürlich verkaufen. Er kann PINs ausspähen und Identitäten klauen usw. usf. Ein Markt mit Zuwachsraten.

M. Boettcher
 
Re: Dialer-Anbieter verteilt Trojaner

Captain Picard schrieb:
Man geht in die Offensive
ob das man nicht ne Nummer zu groß wird...
Wenn M. D. glaubt, seine AGB würden die Qualifikation des von ihm verbreiteten Programms als Trojaner verhindern, so irrt er. Seine "Generalvollmacht", mit der er sich der CPU der Nutzer bemächtigen kann, ist doch vermutlich keinen Pfifferling wert. Immerhin handelt es sich um ein Programm, dass laut "AGB" ungenannte Funktionen hat und diese ständig verändern kann. So installiert das Teil einen Service, was unter http://nepenthes.sourceforge.net/analysis:w32agent.dsi wie folgt beschrieben wird:

Once thing still remains: the malware sets up a ‘service’ on port 6666, identifing itself as
Code:
$ nc -vv localhost 6666
200 adtool updateserver protocol v0.1
We tried to login to this service, but we always got
Code:
400 command not understood
After some time of inactivity, the service disconnected us:
Code:
400 timeout

Da wartet also auf den PC, die das ominöse Plugin installiert haben, ein Server auf Befehle von draussen. Das ist ein typisches Element von Bot-Netzen.

M. Boettcher
 
Eine weitere Verarbeitung der IP-Adresse oder Daten des Kunden erfolgt nicht, insbesondere keine Weitergabe an Dritte.
Mit der für den Programmnutzer überraschenden Verbindungsaufnahme zum Denic-Server für die Whois-Abfragen wird die Programmnutzer-IP in die Denic-Logfiles geschrieben und damit übertragen.

Dietmar Vill
 
Peter H*: „Es gibt auch eine Ausnahme, ich habe etwas gefunden, was hier in Deutschland agiert. Das kann ich jetzt mal vorstellen. Das ist eine Gratis-Sex-Seite. Da ist es so, dass ich hier folgendes habe: Das ist kein Fake, das ist kein Gag, das ist kein Scherz. Sie können umsonst Sex schauen. Sie müssen nur folgendes machen: Man muss sich hier eine Datei auf den Rechner laden. Das ist die plugin-exe.“

Plugin – auf deutsch: einstöpseln. Wir tun´s und bekommen gratis Sex. Und nicht nur das: mit dem Download der besagten Plugin.exe-Datei in den Systemordner stimmen wir etlichen Änderungen am System zu.

Peter H*: „Und dann haben wir den Lizenztext.“

Und in dem steht dann – etwas versteckt, aber unmissverständlich unter anderem: „Die Startseite des Internet Explorer wird verändert.“ „Es wird eine beliebige Anzahl von Favoriten im Internet Explorer hinzugefügt.“ Und: „Umleitung beliebig vieler Domains; d.h. es kann z.B. eingestellt werden, dass der User die Domain http://www.google.de nicht mehr direkt erreichen kann.“

Peter H*: „Das ist ein klassischer Hijacker. Mit dem kleinen Unterschied: Dass ich ihn mir freiwillig herunter lade. Weil ich ja gratis Sex gucken will.“

Auch wir laden uns Plugin.exe herunter. Plötzlich ändert sich unsere Startseite Google automatisch in eine neue Suchseite – mit Namen „AOMI“. Ob AOMI ähnlich funktioniert wie Google? Wir testen – und suchen: das Oktoberfest. Wir wollen Bier und Brez’n, doch ein Klick auf das erste Ergebnis beschert uns keine Wies’n, sondern verlinkt uns – auf ein Amateur Sex-Forum. Frauen – ganz ohne Dirndl. Im Impressum dieser Seite: die Universal Boards GmbH. Dieser Firma gehören genauso das Gratis-Sex-Angebot – wie auch unsere neue Startseite AOMI. Wer jetzt auf der Amateur-Sex-Seite noch die Buchstaben OK eingibt, hat sich einen Dialer eingefangen. Und der kostet pro Einwahl satte 30 Euro! Wir finden die Universal Boards GmbH in München. Doch statt in einem Interview antwortet man lieber per Email. „Unser Tool ist eine neue Art der Werbung, die von uns europaweit patentiert wurde.“ Und weiter: „Vereinzelt – unter 0,01 Prozent – gab es Beschwerden über die veränderte Startseite auf ihren Rechnern.“ „Diesen Usern haben wir dabei geholfen, unser Tool zu deinstallieren.“ Deinstallieren hin oder her. Wir fragen den Berliner Internet-Rechtexperten Sören Siebert: Darf so in meinen Browser eingegriffen werden?

Sören S*, Rechtsanwalt: „Man könnte darüber nachdenken, ob hier vielleicht eine strafbare Datenveränderung vorliegt. Dies wäre allerdings nur dann der Fall, wenn der Nutzer tatsächlich vorher von diesen Veränderungen..., wenn er nicht auf diese Veränderungen hingewiesen wird. Und auch nicht in diese Veränderungen einwilligt. Wenn dann ein bestimmtes Programm Systemdateien verändert, oder überschreibt, könnte das auch strafrechtliche Konsequenzen haben.“

Eines ist ganz klar - von Geisterhand passiert im World Wide Web nie etwas. Und wenn der Internet-Browser sich ins Chaos stürzt – bleibt nur die Hoffnung, den Entführten so schnell wie möglich wieder zu finden..."

Quelle: http://www.planetopia.de
zitiert nach hier
 
Aktuell erscheint bei der im Heise-Artikel angegebenen und von MD übernommenen Domain wegen zu häufiger Verbindungsfehler zur Datenbank folgende Fehlermeldung:

SQL-DATABASE ERROR

Database error in WoltLab Burning Board (): Link-ID == false, connect failed
mysql error: Host '172.16.172.143' is blocked because of many connection errors. Unblock with 'mysqladmin flush-hosts'
mysql error number: 1129
mysql version: unknown
php version: 4.1.2
Date: 06.08.2005 @ 12:50
Script: /
Referer: http://www.l*-i*-n*.de/
Sieht für mich so aus: Da ist was schlampig programmiert worden. Viele User haben den Analyse-Artikel übder die k.exe gelesen und die Url ausprobiert. Dadurch kam es zu zu vielen Fehlern. Folge: Datenbank verweigert die weitere Zusammenarbeit . :holy:

Gruß
Matthias
 
Dann erkläre ich es noch: Ich wollte die Datei *NICHT* laden, sondern darauf hinweisen, dass die Welt gerade ein Stück sicherer geworden ist.

Denic und das BSI wollten oder konnten sich nicht darum kümmern, Heise hat es getan.

Dietmar Vill
 
dvill schrieb:
Dann erkläre ich es noch: Ich wollte die Datei *NICHT* laden, sondern darauf hinweisen, dass die Welt gerade ein Stück sicherer geworden ist.

Denic und das BSI wollten oder konnten sich nicht darum kümmern, Heise hat es getan.
DENIC ist m. E. gar nicht dazu in der Lage etwas zu ändern, solange whois funktionieren soll/muss. Das BSI hat keine "polizeilichen" Befugnisse. Man soll das Amt nicht überfordern; Aufklärung, Beratung etc. machen sie m. E. sehr gut. Das die Welt "sicherer" geworden ist, die Ansicht kann ich nicht ganz teilen. Man weiss ja z. B. gar nicht, wie viele Installationen es von dem Plugin schon gibt, das offenbar unter verschiedenen Bezeichnungen kursiert, und wozu es eingesetzt werden kann. Damit kennt man weder das Bedrohungspotential noch die Art der möglichen Bedrohung. Hier ist man derzeit auf Spekulationen angewiesen. Was nicht heißt, dass ich das Teil für ungefährlich halte; im Gegenteil. An einer Stelle die Weiterverbreitung einzudämmen, ändert, auch angesichts der denkbaren Möglichkeiten der installierten Basis, m. E. leider so gut wie nichts. Da muss erheblich mehr passieren.

M. Boettcher
 
Gerade im Forum von Heise gelesen, dass h**p://www.1m*.de/mp1.html zwar ein handypay-fenster ist, dort aber die beiden vorwahlen 0177 und 0178 (ePlus) nicht aufgelistet sind.

ePlus macht hier also nicht mit. Sehr gut! :)

Gruß
Matthias
 
Zurück
Oben