Liebe NCC, was macht ihr mit meiner Zwischenablage?

[Aka-Aka]

wieder so eine Frage, die ich schon lange stellen wollte... Einige Dialer der Firma NCC aus Barcelona (siehe auch 090090000957ff) tragen während des Initiierungsvorganges Dinge aus der Zwischenablage auf irgendwelche Seiten ein.
Was bedeutet das?
Ich habe dazu mehrere Videos und mir diese mehrmals angeschaut:

a) es sind mehrere popups offen, man weiss gar nicht, wo man gerade ist
b) es erscheint ein Abfragefenster, wo ein Preis von 1,99/min steht
c) dann kommt diese komische Frage, die ich verneint habe, worauf er ein paar Mal nachfragte

leider habe ich während des Vorgangs viele andere Dinge gemacht (whois-Abfragen, Handelsregister in Arizona, Handelsregister in Tschechien - was man halt so macht, wenn man nicht so schwanzgesteuert diese Seiten besucht, wie es Leute wie Herr TS gerne hätten (ein Seitentitel von ihm: "Der Schwanz macht die Gesetze")), sodass das Video wenig aussagekräftig ist...

Apropos whois: man kommt an ein nahezu identisches Einwahlfenster auch über eine Seite, die registriert ist in Gibraltar:
SUITE 2, PORTLAND HOUSE
GLACIS ROAD
GIBRALTAR, GIBRALTAR 00000

so klein ist die Welt...

und bei diesem Besuch passierte das, was man auf dem anderen Bild sieht (sie sind leider verkehrt rum gepostet)
dazu ein google-cache-Forumsbeitrag vom 10.8.2004

Hatte über die Google-Bildersuche nen animierten Blumenstrauss gesucht und kam auf ne Seite mit Handy-Logos und Grußkarten. Als ich das Bild anklickte schlug Antivir Alarm und meine Verbindung brach ab und wollte sich neu einwählen. Ein kpl. Festplattencheck brachte es dann ans Tageslicht:
C:\WINNT\Downloaded Program Files
dlctrl2.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.Pornet.C.1
WURDE GELÖSCHT!
C:\WINNT\system32
EGCOMSERVICE2.dll
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300793 (Dialer)
WURDE GELÖSCHT!

Das würde eben bedeuten, dass man dieses Dingens NICHT nur über Pornoseiten kriegt (wenn man zudem aktiv danach sucht). Diesen Beitrag hab ich erst heute entdeckt und daher auch erst heute die Frage!

Was könnte diese Meldung bedeuten???

 

[BenTigger]

Das sieht z.B. nach einem OK aus, welches via Script in die Zwischenablage kopiert wurde, um es nun automatisch in das Fensterchen einzusetzen.....

Leider (für den Geldempfänger) hattest du nur ne Abfrage vorher, ob es das wirklich tun soll....

(mögliches Scenario...)

 

[Anonymous]

.
aber ich konnte es nicht beweisen... vielleicht hätte ich eine ältere IE-Version gebraucht? Ist es prinzipiell möglich, etwas in meine Zwischenablage zu kopieren, um es dann dort hin zu zaubern? Dann könnte man alle ok-Fenster wegwerfen, weil niemand mehr sagen könnte, wie das "ok" da reinkommt.
Ist diese Funktion üblich? zB beim Eintrag in ein Formular? Da kommt aber normalerweise eine andere Fehlermeldung als hier beim E-Group-Dialer. Soll ich mal den Herrn A.B. fragen, der den deutschen support für NCC macht?

 

[dvill]

Niemand macht den Weg über die Zwischenablage, um ein Eingabefeld programmgesteuert mit einem "OK" zu füllen. Die Aufgabe erfüllt "sendkeys" direkt und einfach.

Dietmar Vill

 

[Aka-Aka]

warum also diese Meldung?

 

[dvill]

Ich habe Meldungen des IE, dass scriptgesteuert mit der Zwischenablage getrickst wird, auch schon gesehen. Was immer dort gemacht wird.

Eine Spekulation wäre, dass man so Parameter von Programm zu Programm übergeben kann. Oft steuert ein vorgeschaltetes Programm den Dialerbezug, z.B. auch ein ActiveX-Programm. Per Zwischenablage könnte man Parameter übergeben. Das ist hier reine Spekulation. Genaueres müsste man mit viel Mühe untersuchen. Es gibt Programme, die Zugriffe auf Systemobjekte oder Registry sauber protokollieren.

Dietmar Vill

 

[Aka-Aka]

Es gibt Programme, die Zugriffe auf Systemobjekte oder Registry sauber protokollieren.
Dietmar Vill

welche meinst Du?

 

[dvill]

Die einfachste Methode, die Zwischenablage zu überwachen, ist das Programm "clipbrd.exe" in <winroot>\system32.

Die universellste wäre SPY++ aus den Visual Studio.

Weiter gibt es viele Spezialprogramme mit unterschiedlichen Zielrichtungen. Ich gebe hier zufällige Beispiele in 2 Kategorien. Ich kenne die Programme nicht und gebe keine Empfehlung. Es sind lediglich Beispiele für Monitoringlösungen.

Einfache Programme kümmern sich speziell um die Zwischenablage, andere können viel mehr, bieten aber auch beängstigende Missbrauchsmöglichkeiten.

Dietmar Vill

 

[Torian]

Geh doch noch mal auf die Seite und wenn wieder die Sicherheitsabfrage w.g. der Zwischenablage kommt startest du deine Textverarbeitung und fügst die Zwischenablage dort ein. Wetten ob "OK" erscheint oder etwas anderes werden noch angenommen

Torian

 

[Aka-Aka]

Hmm, danke@dvill... das mit clipbrd.exe ist ja ganz einfach. Also, ich war noch einmal auf den Seiten, aber das Ergebnis ist absurd.

Einmal landete ich bei einem Voicecall-Fenster, dann begann plötzlich wieder das "Zwischenablagespiel". Nein, er hat kein "OK" kopiert, nichts, es wurde offenbar Stück für Stück die Inhalte der Seite über die Zwischenablage wieder in die Seite eingefügt. Bild für Bild. [Auf dem Bestätigungsfenster für Download des Dialers passierte es heute nicht mehr (aber man kann, wenn man das Video sieht, durchaus spekulieren, dass es da genauso war)] Aber warum?

Ich bin noch immer sehr ratlos, was der Sinn dieser Massnahme ist. Aber vielleicht finde ich ja einen deutschen Ansprechpartner, der mir das erklären kann... Denn es gibt da z.B. ein Fenster, das sich "Afen*** Zugangsassistent" nennt. Es ist, mit mozilla geöffnet, leer und nackt, solange man nicht bei einer domain vorbeigekuckt, die den einprägsamen Namen (leicht gekürzt) 093qpeuqpmz6.......com hat. Ich hielt's für 'nen Witz, aber die domain gibt's. Gehört NCC

drauf ist ein script, das, wenn ausgeführt, genau das NCC-Fenster auf den Bild zaubert, das ich schon kenne. Naja, siehe Anhang...

Der Afen***-Zugangsassistent funktioniert also genauso. Verwundert nicht, ist ja quasi der "Nachbardialer" bei der RegTP...

und damit wir uns richtig verstehen: Ich habe bisher nichts gefunden, was für den missbräuchlichen Einsatz dieses Dialers spricht. Manches ist nur sehr ungewöhnlich. Die Beschwerden zu diesem Dialer halten sich ja offenbar auch in Grenzen [genauer gesagt: NULL, oder?].
Eine Ausnahme sind die 090090000957ff-Dialer, bei denen es sich NACH DEM, WAS BEI DER REG-TP STEHT, um denselben dialer handeln müsste...

siehe
RegTP@090090000958 (die Beschreibungen sind identsich)

aka

 

[Fidul]

Wirklich tolle Zugangsfenster... :evil:

 

[Captain Picard]

nur mal als Beispiel wie das auf US-Sites aussieht , bei der Aufforderung "get full access download now" würden sich
hier bereits die Zehennägel kräuseln , aber keine Panik , jenseits des Ozeans ist man wesentlich
weniger auf die "anonyme" Abzocke aus ....

 

[Aka-Aka]

CCBill

Ich kenne diese Fenster, wie sie CP hier zeigt... Aber was haben diese Firmen an Dialern anzubieten? Die "CCBill" z.B., aus Arizona (Mr. R.C., siehe cp's screenshot) hat als Dialerpartner die Firma "goodthinxx". Wenn der link ok ist, hier . Der Goodthinxx-Dialer scheint eine aconti-Unterart zu sein. Zumindest gibt es eine goodthinxx.cab, in der sich ein acontix.ocx befindet, der Hersteller ist die Firma "A Lifestyle" in Mönchengladbach.

Über Klagen ist mir nichts bekannt. Ich weiß nicht, wie das in den USA ist - aktuell wird da z.B. gerade ein Fall verhandelt, da geht es um eine Firma "Alyon" (französischer GF). Hier der aktuellste link zur FTC:

http://www.ftc.gov/opa/2004/04/alyon416.htm
http://consumeraffairs.com/news04/alyon_ftc.html

In May 2003, the FTC and 13 state attorneys general charged that Alyon was illegally billing and collecting for videotext services purportedly accessed on the Internet. According to the FTC's complaint, the defendants used a modem dialing program that disconnected consumers from their own Internet service providers and reconnected them to the Internet sites Alyon billed for without the consumers' authorization or approval.

Using the dialing program, the defendants allegedly captured the telephone number used by the modem and matched it against several databases of subscriber information, databases which, the FTC said, frequently contain errors.

According to the FTC's complaint, the subscribers identified as responsible for the captured telephone number later received bills charging them $4.99 a minute for each minute the defendants claim videotext services were purchased, regardless of whether the line subscribers authorized the purchase.

Dieser Firma werden übrigens von verschiedener Seite Beziehungen zu einer spanisch-irisch-französischen Firma unterstellt,

siehe exemplarisch hier , womit sich der Kreis wieder schließt, denn das ist NCC

(@electronic group)
Comment: Company that creates dialers for porn sites.
They also use security holes in Internet Explorer for installing their software.
Also known as sex-expl****.com and and nocred******.com and a variety of other sites, such as egw*.net and e-gr***.org.
Seems to have a secret relationship with alyon.net (Aylon should be their competitor, but Aylon has its support pages on egw*.net)

gruss,
aka

@mods: link zu spywareguide ist deaktiviert wegen evtl. gefährlicher links dort. Wenn der link ok ist, bitte editieren, danke

 

[Anonymous]

Re: CCBill

electronic group

Und damit schließt sich wieder der Kreis! Die Elektronic Group Ireland Ltd. wird bedient von Konten der Newlines AG in Liechtenstein, dem zwischenzeitlich berühmten Gerry Oe*** aus der Registrierungsdatenbank der RegTP unter 090090000957 usw.

(Gerry ist übrigens nur der Spitzname)

In diesem Zusammenhang erwähne ich gleich mal erste Vermutungen, die sich auf Geldbeschaffungsaktivitäten der Scientology richten. Gerry ist kein Unbekannter am globalen Geldmarkt (siehe auch: http://www.religio.de/kaizen/gerlach4996.html )