Kazaa Dialer
Verfasst: Mi 19. Sep 2007, 10:00
Dieser Mehrwertdienst nennt sich wie eine bekannte Peer-to-peer Tauschbörse und suggeriert diese Identität in vollem Maße. Inwieweit hier Übereinstimmungen herrschen, würde sich nur durch die Nutzung dieses Mehrwertdienstes offenbaren, was ich aber aus Kostengründen und Prinzip unterlassen habe. Daher gehe ich eher von einer "Trittbrettfahrerei" aus, die ich an dieser Stelle nicht beweisen kann. Da aber die bekannte Tauschbörse im Internet völlig kostenfrei fungiert, weshalb sollte es dann nebenbei das gleiche Angebot auch noch für 29,95€ (pro Einwahl) geben ?
So sieht jedenfalls das Fenster aus, das übrigens als raffinierter "Browser- Hijack" die Startseite des Browser's manipuliert:
Wegen der Größe der Seite, konnte nicht alles dargestellt werden, was wohl auch nicht unbedingt notwendig ist. Der interessierte User kann sich ja den URL in die Adressleiste eintippen und sich die Sache in "Echt" betrachten:
http://www.kazaa-download.de
Das Fenster kennt man inzwischen ja, lediglich die Texte unterscheiden sich geringfügig.
Und schließlich tritt wieder ein "alter Bekannter"
Global Netcom auf den Plan. Dazu findet man in diesem Forum an anderer Stelle genügend Informationen, sodaß ich nicht weiter an dieser Stelle darauf eingehen möchte.
Besorgniserregend erscheint mir wiederum die "Infektionsweise" wie sich dieser Dialer im System festsetzt. Plötzlich, allerdings sporadisch wird die Startseite des Browsers mit dem URL von Kazaa-Download überschrieben.
Zusätzlich wird der URL auch noch in die Favoritenliste aufgenommen. Vermutlich handelt es sich um ein sog. Exploit, dass Schwachstellen des Microsoft- Internet Explorers ausnutzt.
An dieser Stelle möchte ich wiederum die User aufrufen, die mit diesem Dialer auch schon Erfahrung gemacht haben, ob evt. auch andere Browser betroffen sind bzw. die Methode bekannt ist, wie dieser Dialer ins System gelangt ?
Bisher konnte ich nur feststellen, daß folgender Registry- Eintrag vorgenommen wird:
Programm : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Dateiname : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Geladen von : HKEY_LM\RunOnce
Alter : Neu
Kommentar :
Der "Username" ist natürlich von System zu System unterschiedlich und bezieht sich auf den angemeldeten User.
So sieht jedenfalls das Fenster aus, das übrigens als raffinierter "Browser- Hijack" die Startseite des Browser's manipuliert:
Wegen der Größe der Seite, konnte nicht alles dargestellt werden, was wohl auch nicht unbedingt notwendig ist. Der interessierte User kann sich ja den URL in die Adressleiste eintippen und sich die Sache in "Echt" betrachten:
http://www.kazaa-download.de
Das Fenster kennt man inzwischen ja, lediglich die Texte unterscheiden sich geringfügig.
Und schließlich tritt wieder ein "alter Bekannter"
Global Netcom auf den Plan. Dazu findet man in diesem Forum an anderer Stelle genügend Informationen, sodaß ich nicht weiter an dieser Stelle darauf eingehen möchte.
Besorgniserregend erscheint mir wiederum die "Infektionsweise" wie sich dieser Dialer im System festsetzt. Plötzlich, allerdings sporadisch wird die Startseite des Browsers mit dem URL von Kazaa-Download überschrieben.
Zusätzlich wird der URL auch noch in die Favoritenliste aufgenommen. Vermutlich handelt es sich um ein sog. Exploit, dass Schwachstellen des Microsoft- Internet Explorers ausnutzt.
An dieser Stelle möchte ich wiederum die User aufrufen, die mit diesem Dialer auch schon Erfahrung gemacht haben, ob evt. auch andere Browser betroffen sind bzw. die Methode bekannt ist, wie dieser Dialer ins System gelangt ?
Bisher konnte ich nur feststellen, daß folgender Registry- Eintrag vorgenommen wird:
Programm : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Dateiname : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Geladen von : HKEY_LM\RunOnce
Alter : Neu
Kommentar :
Der "Username" ist natürlich von System zu System unterschiedlich und bezieht sich auf den angemeldeten User.