----- Original Message -----
From: Christian Reimann
To:
[email protected]
Sent: Monday, May 24, 2004 6:58 PM
Subject: Übersendung des illegalen Dialers, zu 090090000606
Sehr geehrte Damen und Herren,
Ich nehme Bezug auf mein Telefonat am 24. Mai 04 mit der Kundenbetreuung in Rechnungsangelegenheiten mit Frau Neumann.
Meine Buchungskontonummer ist <ZENSIERT, wenn sich jemand auf meinen Vorgang berufen will, schraibt mit an []>
Zur Sache:
Ein bei der RegTP nicht registrierter Dialer hat am 29.4.2004 von meinem Computer aus eine Verbindung zu der Rufnummer 090090000606 aufgebaut.
Dies geschah vollautomatisch, ohne jegliche Interaktion meinerseits. Ich habe es erst an der Telefonrechnung bemerkt, daß sich ein Dialer eingewählt hatte.
Nach intensiver Suche in den Tiefen meiner Festplatte und im Internet habe ich den Dialer ausfindig gemacht und den Hashwert (Fingerabdruck) ermittelt. Dieser stimmt nicht mit dem Hashwert des bei der RegTP für diese Nummer zugelassenen Dialers überein.
Allein daraus folgt zwangsläufig, daß keine Zahlungspflicht meinerseits besteht.
- Ich fordere Sie nun hiermit auf, mir zu bestätigen, daß Sie diesbezüglich auch wirklich keine Forderungen gegen mich einzutreiben versuchen werden.
- Ich weise Sie darauf hin, daß Sie andernfalls möglicherweise einem Vergehen nach $261 StGB schuldig machen.
- Wie bereits mit Frau Neumann besprochen übersende ich Ihnen gerne die von mir gefundenen Dateien mit einer Funktionsbeschreibung (soweit ich es als Laie nachvollziehen konnte)
Ich erwarte, daß Sie in Zukunft dafür Sorge tragen, daß die Anbieter, denen Sie Ihre Nummern zur Verfügung stellen nur noch mit registrierten Dialern arbeiten. Das liegt auch in Ihrem Interesse, denn die Bearbeitung jeder Reklamation verursacht ja ebenfalls Kosten.
Hier sind also die von mir ermittelten Ergebnisse:
Der von der RegTP zugeordnete Dialer ist:
DIALER1.exe
Hashwert: C16D8623C7358C6C8A373FE43D5086DD8109F7F9
der Dialer, der sich von meinem Rechner aus eingewählt hat ist folgender:
gamepad.exe bzw. d.exe
Hashwert: C12DAB1C2CD5C4191E9465CEC2BDAA8684271F9C
Der Ablauf ist nun folgender:
aufgrund einer Sicherheitslücke des Internet Explorers ist es möglich, daß unbemerkt HTX Dateien mit Visual-Basic-Script ausgeführt werden können.
In einer solchen Datei ( siehe d5.exe.hta ) ist der Dialer als Text codiert enthalten und wird auf beim Ausführen des HTX unter c:\d.exe auf der Festplatte abgelegt und anschließend ausgeführt.
Das Programm d.exe kopiert sich selbst nach <Systemlaufwerk>\WINNT\system32\ShellExt\Gamepad.exe und führt Gamepad.exe aus. c:\d.exe wird gelöscht.
Nach einiger Zeit versucht gamepad.EXE eine Verbindung zu 090090000606 aufzubauen.
Manchmal löscht sich das gamepad.exe danach, manchmal aber auch nicht.
Ich empfehle zum Ausprobieren den Virenscanner AntiVir mit der Signaturdatei vom 17.5.04 (oder neuer). Während der Dialer erkannt wird, sind die Dateien in jedem Fall im System sichtbar.
Weiterhin empfehle ich das Tool 0900 Warner, mit dem man jeden Verbindungsversuch angezeigt bekommt.
Probieren Sie es aus. Führen Sie die mitgeschickte HTX-Datei aus und sehen Sie, wie der Dialer instaliert wird, wie (nach einiger Zeit) die aktuelle internetverbindung getrennt wird und sich der Rechner nach 090090000606 einwählt. (Machen Sie mich aber nicht für eventuell anfallende Kosten verantwortlich
)
Mit freundlichen Grüßen,
Christian Reimann
<MeineMailadresse - Zensiert, Ihr könnt an [] schreiben>
<Meine Adresse - Zensiert>
Anlage:
eine ZIP-Datei mit folgendem Inhalt:
- Gamepad.exe (der Dialer )
- d5.exe.hta (Das HTX-Teil, welches den Dialer installiert)
TOLL 
