Larian Studios

Im Folgenden beschreibe ich Ihnen meine Beobachtungen :


Ich schreibe zur Zeit an mehreren Kurzgeschichten. Für eine davon brauche ich ein paar Namen, und stolperte dabei auf folgende Adresse :

http:// www vornamen-db de

Diese Adresse klingt soweit harmlos, folgt man einem der Links, um zu der angeblichen "Namens-Datenbank" zu kommen, fällt mir folgendes auf :

Der Link "Vornamen Alphabet" hat die URL http:// de-url de/? pid=vnn-2&ax=on

Folgt man dieser URL, kommt man an ein Fenster, das in meinen Augen ganz eindeutig nach DIaler-Programm aussieht ; glücklicherweise habe ich standardmäßig in meinem Mozilla-Browser sowohl JavaScript als auch Java ausgeschaltet, sonst hätte sich da womöglich etwas ohne mein Zutun "getan".

Der Sourcecode spricht eine beredte Sprache :
(Anmerkung : Ich habe mir erlaubt, von einigen Tags im unteren Bereich die spitzen Klammern zu entfernen, um eine Ausführung des Sourcecodes zu erschweren; man weiß nie, wie ein solcher Code in einem Mail-Programm oder in einem Browser dargestellt wird ...)

(Meine Beschreibung geht im Text nach diesem zitierten Sourcecode weiter.)


head
title Software Download /title
link href="dialer_default.css" type="text/css" rel="stylesheet"
link href="dialerbilder/vnn.css" type="text/css" rel="stylesheet"
meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"
meta HTTP-EQUIV="imagetoolbar" CONTENT="no"
/head

body title="Software Download" marginheight="0" marginwidth="0" style="padding:0px;margin:0px;" bottommargin="0" leftmargin="0" rightmargin="0" topmargin="0" noscroll


form id="okform" name="okform" method="POST" action="/index.php" style="width:100%;top:20px;" input type="hidden" name="PHPSESSID"
div class="Info1" style="visibility:hidden;display:none;" Damit Sie unsere Webseite uneingeschränkt nutzen können, benötigen Sie die Zugangssoftware. /div

div class="DownloadTimeInfo" Downloadzeit ca. 5 Sekunden! /div
div class="Info2" Tippen Sie span class="HighlightedOk" OK /span zum Starten des Download: /div
div class="SubmitInput" center table border="0" cellpadding="0" cellspacing="0" tr td input type="button" value="Tippen Sie OK ein" class="SubmitButton" onClick="testSubmitEntry(DIALEROK)" /td td input tyoe="text" alt="Hier einfach OK eingeben!" name="DIALEROK" id="DIALEROK" onkeyup="testSubmitEntry(this)" /td /tr /table /center /div
div class="Info3" Öffnen Sie anschließend die Datei die Ihnen zum Download angeboten wird und führen Sie die angegebenen Anweisungen aus. /div



/body
script

function testSubmitEntry(okField)
{
var newVal = ""
var val = okField.value.toLowerCase() //new String(document.getElementById("DIALEROK").value)
//val = val.toLowerCase()

if(val.substring(0,2) == "ok") { newVal = "ok" }
else
if(val.substring(0,1) == "o") { newVal = "o" }
if(val != newVal) { okField.value = newVal }
if(newVal == 'ok') { document.getElementById("okform").submit() }
}

window.defaultStatus = window.status = "Kostenlose Software"
window.document.getElementById("DIALEROK").value = ""
window.document.getElementById("DIALEROK").focus()

/script




Hier wird also zum Download eines Wählprogrammes aufgefordert, um angeblich die volle Namens-Datenbank nutzen zu können. Ich bezweifle, daß der Download tatsächlich die versprochene Funktionalität herbeirufen kann.

Schaue ich in der Datenbank bei DeNIC nach der URL "de-url.de" nach, die dieser angeblichen Namens-Datenbank zugrunde liegt, bekomme ich als INformation eine Firma, die sich "Global Netcom GmbH" nennt.

Eine Suche nach dieser Firma via Google bringt eine Menge Treffer, unter anderem solche, die diese Firma als "Mehrwertdienst"-Firma characterisiert - ein Euphemismus für Anbieter von Diallern und deren "Servicenummern".

Was mich an diesem ganzen Vorgang aufregtz, ist, daß eine harmlose Seite zum Suchen von Namen dazu mißbraucht wird, sogenannte "Mehrwertdienste" (Dialler) "an den Mann zu bringen".

Gesetzt die Annahme, daß das Versprechen des Webseitenbetreibers nicht eingelöst werden kann, nach dem Download der "Software" (des Diallers) die Datenbank benutzen zu können, handelt es sich hier um einen rechtlich relevanten Tatbestand.

Ich hoffe, damit ein Puzzleteil weitergegeben zu haben, das mithilft, die Verbreitung von unerwünschten Wählprogrammen einzuschränken.

Ein kleiner Tip, wenn man Outlook mit Adressbuch benutzt:

( Ja, ich weiss..Outlook ist sch*** und unsicher und und und.. ich benutze es aber dennoch...)

Wenn man als erste Adresse 0000000 (nullen) eingibt, kann ein Virus, der sich über das Adressbuch selbst verschickt, nix tun.

Hat sich jüngst bei meiner Freundin als hilfreich erwiesen.
Sie bekam nämlich noch bevor sie ihre Emails fertig abgerufen hatte, einen Mail delievery failure von einer Mail, die sich selbst verschicken wollte.
Die Nullen lassen das nicht zu

In jüngster Zeit finden sich auch vermehrt speziell präparierte Webseiten, die Fehler in Microsofts Internet Explorer ausnutzen, um ein Programm aus dem Internet herunterzuladen und auszuführen.
In den letzten Monaten sind mehrere solcher Sicherheitslücken im Internet Explorer bekannt geworden. Zum Einen vergehen typischerweise mehrere Wochen oder gar Monate, bis Microsoft einen Patch dagegen bereitstellt. So gab es beispielsweise bis zum Redaktionsschluß immer noch keinen Patch für das im November veröffentlichte Problem in der showhelp-Funktion, über das eine Webseite beliebige Dateien installieren und starten kann. Zum Anderen finden sich auch danach noch genügend Surfer, die diese Patches immer noch nicht installiert haben.
Solche Webseiten werden dann häufig in News-Gruppen oder via Chat und Instant Messenger "beworben" und sind oft nicht auf den ersten Blick als dubios erkennbar.. heise Security wurde kürzlich auf eine Seite hingewiesen, die wie eine ganz normale private Seite eines Metallica-Fans aussah, im Hintergrund aber versuchte, einen Trojaner zu installieren. Im DEzember präparierten Einbrecher sogar eine Webseite des Landtags Mecklenburg-Vorpommern so, daß sie automatisch einen Keylogger installierte, der die ausspionierten Daten an verschiedene Server im Internet verschickte.