Zum Forum


#1

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 28.01.2005 14:08
von Claus | 1.084 Beiträge | 1800 Punkte
Gestaunt hab ich erst mal! Als mir eine Freundin, bzw. deren Mann erzählte, er habe einen Anruf von Telekom erhalten, in dem man ihn freundlich aber bestimmt informierte, daß seine Entscheidung, einen Dialer zur Interneteinwahl zu nutzen, in wenigen Tagen 500,- Euro summiert hat.

Ohne je einen Hinweis gesehen zu haben, ohne jemals mit OK das Einverständnis gegeben zu haben, wählte sich der PC ab Weihnachten immer wieder über die 0900-90000929 ins WWW! Und laut Telekom soll es sogar ein legaler, weil durch die RegTP freigegebener Dialer sein, weshalb man auch gerne den Gerichtsvollzieher einschalten wird, falls nicht gezahlt wird. Ach ja, der Service der Herrschaften in rosa hat natürlich sofort alle 09xx und 019xx für den Telefonanschluß abgeschaltet.

So weit, so schlecht.

Ich hab mir den PC darauf vorgenommen. Trotz gesperrter Bezahlvorwahlen, hat der Dialer, da immer noch aktiv, weiterhin versucht die gewinnbringende 0900-Verbindung aufzubauen. Und zwar tatsächlich ohne Zutun des Benutzers. Einzig und allein eine Internet-Verbindung mußte aufgebaut sein und irgendwann kam dann eine kurze Meldung, daß die Verbindung jetzt unterbrochen wird... Da die 0900-er mittlerweile gesperrt waren, war damit natürlich erst mal die Verbindung abgebrochen.

Einhergehend mit dieser Aktion konnte ich im Taskmanager von XP beobachten, wie ein Programm mit einem kryptischen Namen ( etwa: A1qM25rzAl.exe... und jedes Mal ein anderer Name) geladen wurde und unmittelbar nach den fehlgeschlagenen Einwahlversuchen beendet wurde. Auf der Festplatte war davon selbstredend keine Spur zu finden.

Mittlerweile hab ich den Zusammenhang einigermassen aufklären können. Auslöser ist ein Wurm mit dem Namen W32/RBot-ED, der sich in diesem Fall über ein Programm namens svchst.exe (bitte nicht mit svchost.exe verwechseln) auf dem PC etabliert hat. Gestartet wird der Spuk durch einen Aufruf in der Registry. Dort fand ich noch die Spur eines weiteren Dialers ähnlicher Machart mit dem Namen ssvr.exe. Nur war der nicht mehr auf der Festplatte vorhanden.

Wie die einzelnen Schritte funktionieren ist mir zwar nicht völlig klar, aber der grobe Ablauf sieht folgendermassen aus:

Beim Windows Start wird svchst.exe ausgeführt.

Damit wird der Rechner für den Absender remote steuerbar

Wird nun eine 'infizierte' Webseite oder ein 'infizierter Server besucht, wird das eigentliche Programm (etwa: A1qM25rzAl.exe...) übertragen und ausgeführt - wahrscheinlich über Active-X Inhalte oder Java-Script

A1qM25rzAl.exe... beendet die bestehende Verbindung und versucht eine neue aufzubauen. Dabei stört nicht mal die Amtsholung einer Telefonanlage. Es werden nämlich 2 Versuche gestartet. Das konnte ich mit Hilfe des ISDN Watch Journal von AVM belegen!

Das es sich tatsächlich um eine Aussensteuerung handeln muß, belegt die Tatsache, das sich seit Weihnachten die angewählte Nummer mindestens einmal geändert hat.

Und das schönste ist: Der Glückliche, dessen bester Freund der Geldbriefträger ist, ist bei den beiden Rufnummern, die ich schwarz auf weiß habe, und 2 weiteren der gleiche! Wenn das kein Zufall ist, oder? Der Mensch hat seinen Briefkasten im schönen Lugano und ist dort sogar telefonisch erreichbar ...

Es gibt aber noch eine schlechte Nachricht zu diesem unerfreulichen Thema. Denn obwohl seit mindestens Juli 2004 bekannt, kennen die 'State of the Art' Virenscanner wie Norton, Antivir, Kaspersky... diesen Robot noch nicht, erkennen ihn also auch nicht und beseitigen ihn schon 2-mal nicht. Einzig der Scanner des mir bis gestern nicht bekannten Anbieters Sophos erkennt und beseitigt den Spuk.

Natürlich kann man mit entsprechendem Wissen auch händisch an die Beseitigung gehen. Ich hab ca. 3,5 Stunden für die Beweissicherung und die anschliessende Wiederherstellung gebraucht.

Mein Tip: Falls ISDN über eine AVM Karte genutzt wird, bzw. sich noch eine AVM Karte im per DSL angeschlossenen PC befindet, sollte man die Dokumentation der Verbindungen aktivieren und sich eine Sperrliste mit den benötigten Ausnahmen einrichten. Ansonsten, Sperre bei Telekom beantragen und schon ist Ruhe.

Zu anderen Karten kann ich nichts sagen, da ich nur AVM Karten einsetze.


Mit freundlichen Grüßen

Claus

nach oben springen

#2

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 29.01.2005 00:40
von Lucky • Newbie | 25 Beiträge | 25 Punkte
Na bravo!!

Kann man denn etwas dagegen tun, wenn man dann so eine tolle Rechnung bekommt ??

Staunenderweise

Lucky

nach oben springen

#3

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 29.01.2005 12:32
von kein Name angegeben • ( Gast )
Ja, und zwar:

1. Sofort Widerspruch einlegen. Und die 0900-xx sperren lassen.

2. Danach Beweise sichern. Denn behaupten kann man viel und genau das wird dann auch vom rosa Riesen erst mal unterstellt.

3. Danach den PC 'entwanzen'. Also die Malware (Wurm, Trojaner...) außer Gefecht setzen.

Die Reihenfolge ist meiner Ansicht nach sinnvoll, weil durch die Sperrung im ersten Schritt die zukünftige Abzocke gestoppt wird.

Um die bereits erfolgte auszuschalten ist das Sichern von Beweisen wichtig. Es steckt bei einer ungewollten 0900-xx Verbindung in der Regel eine Software dahinter, die ohne Einwilligung und Zutun des Nutzer auf den PC gekommen ist. Sie läßt sich auch nicht mit 'einfachen' Mitteln ausschalten.

Ideal ist, wenn wie in meinem geschilderten Fall der Mechanismus einigermassen erkennbar gemacht werden kann. Das geht nur, wenn die Malware noch aktiv ist.

Hat man die ersten beiden Schritte erfolgreich abgeschlossen, geht es erst ans Entwanzen. Ich mach von den auslösenden Programmen gern Sicherungskopien (Diskette genügt), die ich noch lieber an die Ungläubigen vom rosa Riesen schicke.

Und es gibt Foren (www.computerbetrug.de z.B.), in denen man sich informieren und helfen lassen kann. Bei Selbsthilfe mit Begleitung sollte man aber etwas mehr als nur die rechte und linke Maustaste fehlerfrei auseinanderhalten können, leider!

Insgesamt ist das Thema nicht nur teuer und unangenehm, sondern auch zeitraubend. Ich habs ja schon geschrieben, daß selbst in meinem Fall etliche Stunden Arbeit daraus geworden sind.

Übers Wochenende werde ich für meine Freunde die Korrespondenz mit dem rosa Riesen entwerfen. Auch hier werden sicher wieder 2-3 Stunden notwendig sein.


Mit freundlichen Grüßen

Claus

nach oben springen

#4

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 29.01.2005 12:41
von Claus | 1.084 Beiträge | 1800 Punkte
... der anonyme User im vorigen Beitrag bin ich!

Das kommt davon, wenn man per Einstellungen in den Optionen die Sicherheit im Internet Explorer verbessert!!


Mit freundlichen Grüßen

Claus

nach oben springen

#5

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 29.01.2005 12:43
von fuerst (gelöscht)
avatar
Hallo Claus,

bei so viel Tips ist das Wichtigste vergessen worden.

Die Vorsorge....!

Jeder, der über ISDN oder analog ins Internet geht, sollte vorsorglich die 0190er, 0900 usw. Nummern sperren lassen.
Geht das nicht, weil man diese Nummern anrufen muss, (Support o.ä.) dann muss zumindest ein guter 0190er Warner auf den Rechner.

AntiSpy-Programme gehören ebenfalls auf jede Kiste, die Zugang zum Internet hat.

Wie Du schon schreibst, heute muss man sich mit diesen Problemen beschäftigen und etwas mehr beherrschen lernen als die Maus.

Sonst kommen Leute wie ich und ziehen einem das Geld aus der Tasche, damit die Kiste wieder läuft...

Viele Grüße,
Harald

nach oben springen

#6

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 29.01.2005 12:49
von Claus | 1.084 Beiträge | 1800 Punkte
Hallo Harald,

vielen Dank, Du hast natürlich Recht. Die Sperre kann man grundsätzlich setzen lassen. Dann fällt aber auch die u. U. sinnvolle Hausaufgabenbetreuung per 0900-xx für die Kids erst mal raus.

Eine andere Möglichkeit bieten die verschiedenen 0190-xx und 0900-xx Softwares, mit denen man steuernd eingreifen kann.

Hat man bsw. eine ISDN Karte von AVM, ist die Software bereits an Bord - sofern man sich nicht mit der rudimentären Win XP Installation einwählt! Und da sind wir dann wieder beim Thema Expertenhilfe. Die ist leider bei den meisten Anwendern sinnvoll. Allein die Komplexität der aktuellen Installationen bedingt das schon.


Mit freundlichen Grüßen

Claus

nach oben springen

#7

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 30.01.2005 13:29
von sinovelo | 903 Beiträge | 970 Punkte
puh, bin ich froh, dass ich DSL hab....

eine Sache gibt es noch anzumerken:

Man überlege sich genau, ob man die 0190er/0900er Nummernkreise sperren lassen will. Soweit mir bekannt, geht nur beides gemeinsam, und damit fallen dann auch eventuell billige Call-by-call-Anbieter weg. Bei www.teltarif.de kann man das Angebot zwar so anzeigen lassen, dass keine 0190/0900 Nummernkreise mit angezeigt werden, aber so schießt man sich eventuell selber den günstigsten Carrier ab.

Da ich sehr viel ins Ausland telefoniere, schätze ich die Call-by-Call-Lösung sehr. Das geht inzwischen soweit, dass an bestimmten Tagen Gespräche in die USA kostenlos angeboten werden.

nach oben springen

#8

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 30.01.2005 14:27
von fuerst (gelöscht)
avatar

Zitat:

sinovelo schrieb am 30.01.2005 13:29Da ich sehr viel ins Ausland telefoniere, schätze ich die Call-by-Call-Lösung sehr. Das geht inzwischen soweit, dass an bestimmten Tagen Gespräche in die USA kostenlos angeboten werden.








...schon mal über VoIP nachgedacht?

Wenn Du den Gesprächspartner dazu bekommst, ebenfalls VoIP zu benutzen, dann ist's richtig billig.
Nämlich kostenlos.

...immer!

Grüße,
Harald

VoIP 99 6188 445723 ;-)


nach oben springen

#9

W32/RBot-ED - Noch 'ne Masche, ans ganz schnelle Geld zu kommen

in Alles Blech und Sondermüll, Pannenhilfe Computer 30.01.2005 19:17
von sinovelo | 903 Beiträge | 970 Punkte
Leider sind fast alle meine potenziellen Gesprächspartner keine ausgesprochenen Tekkies

Und außerdem ist es angesichts der Zeitverschiebung gar nicht unbedingt erstrebenswert, dass es für beide Seiten erschwinglich ist: Solange ich für 1 oder 2 cent die Minute telefonieren kann, bestimme ich , wer möglicherweise unsanft aus dem Schlaf geklingelt wird.

...und das ist auch gut so.

nach oben springen


Besucher
0 Mitglieder und 1 Gast sind Online

Wir begrüßen unser neuestes Mitglied: wonstar
Forum Statistiken
Das Forum hat 1398 Themen und 12098 Beiträge.

Heute waren 4 Mitglieder Online:


Besucherrekord: 89 Benutzer (27.10.2012 10:29).

Xobor Ein eigenes Forum erstellen