So sieht jedenfalls das Fenster aus, das übrigens als raffinierter "Browser- Hijack" die Startseite des Browser's manipuliert:
Wegen der Größe der Seite, konnte nicht alles dargestellt werden, was wohl auch nicht unbedingt notwendig ist. Der interessierte User kann sich ja den URL in die Adressleiste eintippen und sich die Sache in "Echt" betrachten:
http://www.kazaa-download.de
Das Fenster kennt man inzwischen ja, lediglich die Texte unterscheiden sich geringfügig.
Und schließlich tritt wieder ein "alter Bekannter"
Global Netcom auf den Plan. Dazu findet man in diesem Forum an anderer Stelle genügend Informationen, sodaß ich nicht weiter an dieser Stelle darauf eingehen möchte.
Besorgniserregend erscheint mir wiederum die "Infektionsweise" wie sich dieser Dialer im System festsetzt. Plötzlich, allerdings sporadisch wird die Startseite des Browsers mit dem URL von Kazaa-Download überschrieben.
Zusätzlich wird der URL auch noch in die Favoritenliste aufgenommen. Vermutlich handelt es sich um ein sog. Exploit, dass Schwachstellen des Microsoft- Internet Explorers ausnutzt.
An dieser Stelle möchte ich wiederum die User aufrufen, die mit diesem Dialer auch schon Erfahrung gemacht haben, ob evt. auch andere Browser betroffen sind bzw. die Methode bekannt ist, wie dieser Dialer ins System gelangt ?
Bisher konnte ich nur feststellen, daß folgender Registry- Eintrag vorgenommen wird:
Programm : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Dateiname : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Geladen von : HKEY_LM\RunOnce
Alter : Neu
Kommentar :
Der "Username" ist natürlich von System zu System unterschiedlich und bezieht sich auf den angemeldeten User.
