Seite 1 von 1

Kazaa Dialer

Verfasst: Mi 19. Sep 2007, 10:00
von thbrueck
Dieser Mehrwertdienst nennt sich wie eine bekannte Peer-to-peer Tauschbörse und suggeriert diese Identität in vollem Maße. Inwieweit hier Übereinstimmungen herrschen, würde sich nur durch die Nutzung dieses Mehrwertdienstes offenbaren, was ich aber aus Kostengründen und Prinzip unterlassen habe. Daher gehe ich eher von einer "Trittbrettfahrerei" aus, die ich an dieser Stelle nicht beweisen kann. Da aber die bekannte Tauschbörse im Internet völlig kostenfrei fungiert, weshalb sollte es dann nebenbei das gleiche Angebot auch noch für 29,95€ (pro Einwahl) geben ?

So sieht jedenfalls das Fenster aus, das übrigens als raffinierter "Browser- Hijack" die Startseite des Browser's manipuliert:
Bild
Wegen der Größe der Seite, konnte nicht alles dargestellt werden, was wohl auch nicht unbedingt notwendig ist. Der interessierte User kann sich ja den URL in die Adressleiste eintippen und sich die Sache in "Echt" betrachten:
http://www.kazaa-download.de

Bild
Das Fenster kennt man inzwischen ja, lediglich die Texte unterscheiden sich geringfügig.
Bild
Und schließlich tritt wieder ein "alter Bekannter"
Global Netcom auf den Plan. Dazu findet man in diesem Forum an anderer Stelle genügend Informationen, sodaß ich nicht weiter an dieser Stelle darauf eingehen möchte.
Besorgniserregend erscheint mir wiederum die "Infektionsweise" wie sich dieser Dialer im System festsetzt. Plötzlich, allerdings sporadisch wird die Startseite des Browsers mit dem URL von Kazaa-Download überschrieben.
Zusätzlich wird der URL auch noch in die Favoritenliste aufgenommen. Vermutlich handelt es sich um ein sog. Exploit, dass Schwachstellen des Microsoft- Internet Explorers ausnutzt.

An dieser Stelle möchte ich wiederum die User aufrufen, die mit diesem Dialer auch schon Erfahrung gemacht haben, ob evt. auch andere Browser betroffen sind bzw. die Methode bekannt ist, wie dieser Dialer ins System gelangt ?


Bisher konnte ich nur feststellen, daß folgender Registry- Eintrag vorgenommen wird:


Programm : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Dateiname : C:\DOKUME~1\Username\LOKALE~1\Temp\~193.exe
Geladen von : HKEY_LM\RunOnce
Alter : Neu
Kommentar :

Der "Username" ist natürlich von System zu System unterschiedlich und bezieht sich auf den angemeldeten User.

Re: Kazaa Dialer

Verfasst: Mi 19. Sep 2007, 10:01
von thbrueck
Da Adaware 6.0 mit der Referenzliste von Juli 2004 diesen Browser- Hijacker und gleichzeitig Dialer- Installer leider nicht aufspüren konnte, habe ich manuell nachsehen müssen: (Zur Info: auch HiJack This und CW Shredder lieferten keine Ergebnisse hierzu)

Als erstes habe ich ein sog. Browser Helper Object, kurz BHO genannt, Brigde gefunden. In c:\winnt\Downloaded Program Files existierte die Datei "bridge.inf", die auch unter dem Alias TrojanSpy.Win32.Briss.a laut Antiviren- Spezialist Kaspersky als Schädling geführt wird. Unter Umständen könnten auch verschiedene Dateien auf dem System vorhanden sein:

bcmiivbj.dll
bridge.dll
jao.dll
rntx.dll
bridge.exe
bridgew.exe
bcmiivbj.inf
fasetupstart.inf
fasetupstart.ocx
rntx.dll
rntx.inf
a.exe


Nun zu den Registry- Einträgen:

HKEY_CLASSES_ROOT\interface\{4fdbdbad-fefe-4c4c-9cc1-1181052afb12}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_CLASSES_ROOT\typelib\{ddaf2479-6f00-4599-998a-3ed75686c6d0}
HKEY_CLASSES_ROOT\typelib\{ddaf2479-6f00-4599-998a-3ed75686c6d0}\1.0\flags
HKEY_LOCAL_MACHINE\clsid\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9c691a33-7dda-4c2f-be4c-c176083f35cf}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\systray


Alles hier Aufgeführte sollte unbedingt vom System gelöscht werden. Im Moment ist es noch nicht eindeutig geklärt, ob alle Einträge einzig dem Kazaa- Dialer zuzuordnen sind oder auch eine Verbindung zu anderen Schädlingen besteht. Ein Entfernen ist auf alle Fälle ratsam!
In den Folgebeiträgen werden weitere Schädlinge jeweils separat behandelt, da einfach keine genaue Trennlinie zwischen diesem Kazaa- Dialer und weiteren Infektionen dieser Art gezogen werden kann - zumindest nicht zum gegenwärtigen Zeitpunkt!

Re: Kazaa Dialer

Verfasst: Mi 19. Sep 2007, 10:01
von thbrueck
Als nächstes könnte sich auch das BHO Xrenoder auf dem System befinden. Hierdurch wird die Startseite manipuliert. Unter folgenden Namen ist dieser Schädling bei Kaspersky aufgeführt:

TrojanDownloader.Win32.IstBar.b
TrojanDownloader.Win32.IstBar.c
TrojanDownloader.Win32.IstBar.s


Erscheinen unaufgefordert pornografische PopUps, könnte es sich um diesen Schädling handeln. Ob er mit dem Kazaa- Dialer in Zusammenhang steht, würde ich eher bezweifeln, aber der Ursprung könnte auf den gleichen unseriösen Internetseiten beheimatet sein.
Folgende Dateien sind zu löschen:

adult_chat.exe
trojandownloader.win32.istbar.b.exe
trojandownloader.win32.istbar.c.exe


Ebenso folgende Files:

egdhtml_1017.dll
istactivex.dll


Im Internet- Explorer könnten sich auch noch ungebetene Einträge in den Favoriten oder gar auf dem Desktop eingetragen haben !