Trojaner - Dialer löscht sich selbst nach erfolgter Einwahl

Zugegeben, gewartet haben wir darauf lange, doch gehofft haben wir es natürlich nie. Mehrere Trojaner-Info Besucher machten uns auf eine 16 Kilobyte kleine EXE-Datei aufmerksam. Dieser kleine Fiesling wählt eine 0190er Mehrwertnummer und verschwindet wieder vom System. Wir liessen uns diese zuschicken und leiteten die Datei zwecks Analyse an Network Associates (McAfee) in Hamburg weiter.

Wird der kleine Trojaner ausgeführt, so wird eine 0190-8xxxx - Verbindung über das Modem aufgebaut. Sowie das geschehen ist, löscht sich die Datei wie von Geisterhand. QDial11, so der offizielle Name laut Network Associates Datenbank, nimmt keinerlei Änderungen in der Registry oder sonst irgendwo im Betriebssystem vor. Eine Meldung auf dem Bildschirm wird ebenfalls nicht angezeigt.

Warum derartige Trojaner unter die Leute gebracht wird, liegt auf der Hand: Sobald der Geschädigte unbekannte 0190-Einwahlen auf seiner Telefonrechnung findet, fehlen ihm jegliche Beweise, dass die Einwahl ohne sein Zutun erfolgte, da der Trojaner sich längst aus dem Staube gemacht hat. Das ein Betrug vorliegt, wird kaum noch nachvollziehbar sein.

Ursprung bzw. woher diese Trojaner stammen, ist bisher ungeklärt. Auch wie diese Dateien auf die PCs der Anwender gelangt sind. Denkbar wären jedoch mehrere Methoden bzw. ein Zusammenspiel mehrere Begebenheiten. Denkbar wäre unter Angabe falscher Tatsachen der Versand per E-Mail, über Online - Tauschbörsen und Chats (z.B. IRC, ICQ etc.).

Für uns liegt jedoch auch die Vermutung nahe, dass durch dubiose Webseitenbetreiber der Versuch unternommen wurde bzw. wird, diese Datei einem Surfer unterzujubeln. Sei es getarnt als nützliche Datei zum Download oder mittels ActiveX und/oder Sicherheitslücken des Webbrowsers. Ein Trojaner-Info Besucher war sich sogar recht sicher, diese Datei über eine Webseite auf ungewünschte Art und Weise bezogen zu haben. Leider konnten wir das nicht mehr nachvollziehen, doch kann diese Aussage durchaus der Wahrheit entsprechen.

Abschliessend sei noch erwähnt, dass QDial11 dahingehend in anderen Varianten in Erscheindung treten könnte (wenn nicht schon geschehen), indem andere Mehrwertnummern angewählt werden. Man denke z.B. an Rufnummern mit hohen Einwahlgebühren bzw. Pauschalpreisen je Einwahl.

Network Associates nimmt den Trojaner QDial11 in den McAfee Virendefinitionen auf. Bleibt zu hoffen, dass auch andere AntiVirus Hersteller entsprechend nachziehen und dieses ebenfalls tun. Wir werden unser Möglichstes tun.

Wir danken Herrn Kollberg von Network Associates Hamburg für die Analyse und technischen Informationen bezüglich des Trojaners.

fuer weitere infos von trojanerinfo, einfach auf den banner unten klicken!

und ansonsten noch folgendes thema von hyrican ansehen:

• 
  Dialer wählt sich ein und verschwindet wieder

dies waren mal die informationen von trojanerinfo.de zu diesem thema.

Quelle und Seite:
um auf diese seite zu gelangen einfach auf den banner klicken!

Mit großen dank an Thomas Tietz (trojaner-info.de) und dem restlichen team!
Danke fuer die erlaubniss das hier posten zu duerfen!

del/FTF

Werbung

Woran kann man sehen, dass man diesen Dialer aktiviert hat?

An der Telefonrechnung*grins*.
Laut Beschreibung des Trojaners löscht er sich nach der ersten erfolgreichen Einwahl selbst du wirst ihn also nicht finden wenn er sich installiert hatte und einwählen konnte.Ansonsten sollte jeder gängige Virenscanner den QDial11 bzw.1840.exe wie er vorher hieß den Trojaner finden also einfach mal dein System scannen.
Im übrigen glaube ich nicht das dieser Dialer zertifiziert ist also bist du nach dem neuen " Gesetz zur Bekämpfung des Missbrauchs von 0190er-/0900er-Mehrwertdiensterufnummern" nicht zur Zahlung verpflichtet.
Infos zum Gesetz gibts auch hier: http://mp3-world.net/d/forum/viewtop...ghlight=dialer

hyrican