Dialer löscht sich selbst nach erfolgter Einwahl

Alles was nicht in die anderen Bereiche passt
Antworten
Benutzeravatar
andreas
Spezialist
Spezialist
Beiträge: 215
Registriert: 4. Mär 2003, 15:49
Wohnort: Schwarzenborn

Dialer löscht sich selbst nach erfolgter Einwahl

Beitrag von andreas »

... auf eine 16 Kilobyte kleine EXE-Datei aufmerksam. Dieser kleine Fiesling wählt eine 0190er Mehrwertnummer und verschwindet wieder vom System. Wir liessen uns diese zuschicken und leiteten die Datei zwecks Analyse an Network Associates (McAfee) in Hamburg weiter.
Wird der kleine Trojaner ausgeführt, so wird eine 0190-8xxxx - Verbindung über das Modem aufgebaut. Sowie das geschehen ist, löscht sich die Datei wie von Geisterhand. QDial11, so der offizielle Name laut Network Associates Datenbank, nimmt keinerlei Änderungen in der Registry oder sonst irgendwo im Betriebssystem vor. Eine Meldung auf dem Bildschirm wird ebenfalls nicht angezeigt.
Warum derartige Trojaner unter die Leute gebracht wird, liegt auf der Hand: Sobald der Geschädigte unbekannte 0190-Einwahlen auf seiner Telefonrechnung findet, fehlen ihm jegliche Beweise, dass die Einwahl ohne sein Zutun erfolgte, da der Trojaner sich längst aus dem Staube gemacht hat. Das ein Betrug vorliegt, wird kaum noch nachvollziehbar sein.
Ursprung bzw. woher diese Trojaner stammen, ist bisher ungeklärt. Auch wie diese Dateien auf die PCs der Anwender gelangt sind. Denkbar wären jedoch mehrere Methoden bzw. ein Zusammenspiel mehrere Begebenheiten. Denkbar wäre unter Angabe falscher Tatsachen der Versand per E-Mail, über Online - Tauschbörsen und Chats (z.B. IRC, ICQ etc.).
Für uns liegt jedoch auch die Vermutung nahe, dass durch dubiose Webseitenbetreiber der Versuch unternommen wurde bzw. wird, diese Datei einem Surfer unterzujubeln. Sei es getarnt als nützliche Datei zum Download oder mittels ActiveX und/oder Sicherheitslücken des Webbrowsers. Ein Trojaner-Info Besucher war sich sogar recht sicher, diese Datei über eine Webseite auf ungewünschte Art und Weise bezogen zu haben. Leider konnten wir das nicht mehr nachvollziehen, doch kann diese Aussage durchaus der Wahrheit entsprechen.
Abschliessend sei noch erwähnt, dass QDial11 dahingehend in anderen Varianten in Erscheindung treten könnte (wenn nicht schon geschehen), indem andere Mehrwertnummern angewählt werden. Man denke z.B. an Rufnummern mit hohen Einwahlgebühren bzw. Pauschalpreisen je Einwahl.
Network Associates nimmt den Trojaner QDial11 in den McAfee Virendefinitionen auf. Bleibt zu hoffen, dass auch andere AntiVirus Hersteller entsprechend nachziehen und dieses ebenfalls tun. Wir werden unser Möglichstes tun.
Wir danken Herrn Kollberg von Network Associates Hamburg für die Analyse und technischen Informationen bezüglich des Trojaners.

Quelle: Trojaner-Info
Sachstand: 07.07.2003
URL: http://www.trojaner-info.de/news/dialer_qdial.shtml





--------------------------------------------------------------------------------


Trojan Name Risk Assessment
QDial11 Corporate User : Low
Home User : Low


Trojan Information
Discovery Date: 07/03/2003
Origin: Germany
Length: 16384 Bytes (packed)
Type: Trojan
SubType: -
Release Date: 07/09/2003
Minimum Engine: 4.1.60
Description Added: 07/07/2003
Description Modified: 07/07/2003 1:47 AM (PT)


Trojan Characteristics:
This is a detection for a trojan that tries to use an installed Modem to call an expensive 0190 872xxx number.


After execution, the trojan starts dialing without displaying any dialog or warn messages and deletes itself from the harddrive. It does not make any changes to the registry or system files.


Symptoms
Unexpected modem activity


Method Of Infection
Trojans do not self-replicate. They are spread manually, often under the premise that the executable is something beneficial. Distribution channels include IRC, peer-to-peer networks, newsgroup postings, etc.


Removal Instructions
All Users:
Script,Batch,Macro and non memory-resident:
Use current engine and DAT files for detection and removal.
PE,Trojan,Internet Worm and memory resident:
Use specified engine and DAT files for detection. To remove, boot to MS-DOS mode or use a boot diskette and use the command line scanner:
SCANPM /ADL /CLEAN /ALL
Additional Windows ME/XP removal considerations
AVERT recommends to users that they not trust file icons particular when received from others, such as P2P clients, IRC, email or other mediums where users can share files.
AVERT Recommended Updates:
* Office2000 Updates
* Malformed Word Document Could Enable Macro to Run Automatically (Information/Patch)
* scriptlet.typelib/Eyedog vulnerability patch
* Outlook as an email attachment security update
* Exchange 5.5 post SP3 Information Store Patch 5.5.2652.42 - this patch corrects detection issues with GroupShield
For a list of attachments blocked by the Outlook patch and a general FAQ, visit this link.
Additionally, Network Administrators can configure this update using an available tool - visit this link for more information.
It is very common for macro viruses to disable options within Office applications for example in Word, the macro protection warning commonly is disabled. After cleaning macro viruses, ensure that your previously set options are again enabled.


Variants
Name Type Sub Type Differences


Quelle: Network Associates Technology
Sachstand: 07.07.03
URL: http://vil.nai.com/vil/content/v_100464.htm
Zuletzt geändert von andreas am 29. Jul 2003, 09:43, insgesamt 1-mal geändert.
madman
schaut sich noch um
schaut sich noch um
Beiträge: 5
Registriert: 7. Jul 2003, 09:53

Router bringt Abhilfe gegen Dailer

Beitrag von madman »

Tach zusammen,

bei mir stellt sich das Problem nicht mehr, da ich zuhause einen Router
einsetzte. Also kleiner Tip meinerseits. Wenn ihr einen alten Rechner
irgendwo rumliegen habt rüstet ihn mit ipcop aus und dann können sie
Dailer installieren wie sie wollen.

Schaut einfach mal nach: http://www.ipcop.org

Bietet viele nette Einstellmöglichkeiten und ist kinderleicht zu bedienen.

Gruß Madman
Antworten