13.02.2003, 03:27
| # 1 |
| ...ist anders...  Registriert seit: 05.10.2002
Beiträge: 6.121
| Böse Falle: Dialer mittels VBS/Scripten und Trojanern installieren! Dubiose Webseitenbetreiber lassen sich immer wieder neue Tricks einfallen um ahnungslosen Anwendern einen Dialer unterzujubeln. Wenn aber eine Webseite versucht gleich mehrere Sicherheitslücken im Internet Explorer auszunutzen, um einen Dialer auf das System des Surfers zu installieren, dann macht der Seitenbetreiber auch vor gefährlichen Visual Basic Scripten und Trojanischen Pferden nicht halt um fremder Leute Geld aus der Tasche zu ziehen. Wir möchten die technischen Tricks aus verständlichen Gründen nicht bis in das letzte Detail erklären und haben uns für eine einfache, allgemeine Beschreibung entschieden. Im Zusammenspiel mit einem Visual Basic Script werden die Sicherheitseinstellungen des Internet Explorers dahingehend manipuliert, dass Aktive Inhalte (ActiveX Komponenten) herunterladen und ausgeführt werden. Ohne jegliche Rückfrage an den Anwender, ob dieses geschehen soll oder nicht. Die präparierte Webseite versucht weiterhin mehrere Sicherheitslücken des Internet Explorers auszunutzen, um ein Trojanisches Pferd Namens "Win32/Aphex.2_4" auf dem System des Besuchers einzuschleusen. Diese kleine Datei von nur 2,5 KB Größe soll nach Start einen Dialer von einem entfernten Webserver herunterladen. ActiveX Komponenten werden versucht zu laden, Einsatz von Java Scripten und Techniken, die sehr an den Nimda Wurm erinnern, sind hier mal als Beispiele genannt. Aber auch das zuvor genannte Script kann noch weitaus mehr bewirken, als einem lieb ist. Das Script installiert sich im System so, dass es bei jedem Systemstart ebenfalls geladen wird. Das Script kann Modemlautsprecher ausschalten, damit keine Wähl-Töne hörbar sind, wenn das Script später zu festgelegten Zeiten den Dialer startet und sich dieser einwählt. Damit der Anwender auch wirklich nichts von der ganzen Prozedur mitbekommt, wird der DFÜ-Dialog deaktiviert. Die Dialerdatei selber wurde verschlüsselt und ein Bedienermenü wie bei anderen Dialern wird man vergebens suchen. Das der Dialer sich nach Start auch sofort einwählen kann (ohne Rückfrage, "versteht" sich...), braucht schon fast nicht mehr erwähnt werden. Sollte der Anwender doch dem Dialer auf die Spur gekommen sein und löscht diesen, so wird das auch wenig Zweck haben, da das VBS-Script das Trojanische Pferd dazu veranlasst den Dialer erneut aus dem Web zu laden. Laut Dialerschutz.de sollen sich auch E-Mails im Umlauf befinden, die sich eventuell vorhandene Sicherheitslücke zu Nutze machen. Hier kann es unter Umständen schon ausreichen, die E-Mail einfach zu öffnen und es findet eine ähnliche Prozedur wie hier beschrieben statt, die stark an den Nimda Wurm erinnert. Um welche Dialer handelt es sich, der verwendet worden ist ? Welche Rufnummer wird angewählt ? Wir werden hier mal einige Textausschnitte aus dem Dialer unkommentiert veröffentlichen. Es sind nicht alle Texte, die darin enthalten sind, sondern beschränken wir uns hauptsächlich auf den deutschsprachigen Teil. Es scheint uns jedoch, der Dialer befindet sich nicht in seinem Ursprungszustand vom Dialeranbieter selber und wurde nachträglich manipuliert ! 0190,040762 (es sind viele Einwahlnummern im Dialer enthalten, diese dürfte Deutschland betreffen und wird laut Infoblatt der Regulierungsbehörde durch die Firma Talkline weitervermietet) By clicking'OK' you are acknowledging that you are the party responsible or authorized by the line subscriber to pay $6.00 per minute for this service w³.ibillingsystems.com *** ACHTUNG*** Nur Volljährige (18 Jahre) sind zur Verwendung dieses Dienstes berechtigt. Wenn Sie mit der Verwendung der Software fortfahren, erklären Sie damit, dass Sie mindestens 18 Jahre alt sind. ANLEITUNG & WARNHINWEISE Wenn Sie diesen Wahlservice als Zahlungsmethode für das betreffende Material wählen, laden Sie unsere proprietäre Software auf die Festplatte Ihres Computers. Dieser Aufrufwillenskosten Sie 4,09 ?/min. Sie können für than(20)mins nicht mehr bleiben. VERBINDUNGSABBRUCH: Nach dem Einwählen wird eine Internet-Verbindung mit einem Remote-Server außerhalb Ihres Landes hergestellt. Ihr Modem unterbricht dann die Verbindung zum Internet-Dienstanbieter und wählt eine Telefonnummer im Ausland. Dabei fallen Auslandsgebühren an. Sie können unseren Service durch eine der folgenden Verfahren beenden:
der ganze artikel geht noch weiter. wer den rest auch lesen will, der sollte HIER KLICKEN! es werden noch weitere punkte besprochen wie:
an der stelle moechte ich auf eine anleitung zum entfernen des windows-scripthost hinweisen! diese anleitung ist fuer folgende systeme geschrieben:
dies waren mal die informationen von trojanerinfo.de zu diesem thema. Quelle und Seite:  um auf diese seite zu gelangen einfach auf den banner klicken! Mit großen dank an Thomas Tietz (trojaner-info.de) und dem restlichen team! Danke fuer die erlaubniss das hier posten zu duerfen! del FTF |
 |
28.05.2012, 15:29
| # -- |
| News Flash  | Das könnte Dich auch noch interessieren:
Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen. |
