Hallo Leute,

ein Bekannter hat das Problem, dass er (angeblich ohne sein zutun) den Dialer "Hot Tarts" auf sein System bekam. Das System (OS = WinXP) ist mit ZoneAlarm 5 und AV-Guard gesichert und wurde vorher mit SSD, eScan, Hackthis, TSC, Ad-Aware, Stinger und ein paar anderen gescant/behandelt und war sauber!

Mich interessiert nun:
- Wo kommt dieser Dialer überhaupt her?
- Wie "pflanzt" er sich fort?
- Welche Sicherheitslücke nutzt er aus?
- Warum kommt der immer wieder?

Gibt es sonst noch Möglichkeiten wieso der Rechner immer wieder befallen wird? Als Browser wird (angeblich) auch nur noch Firefox verwendet (bin ja nicht immer dabei und weiß nicht ob das stimmt). Mail-Klient ist Outlook Express.

Greetings

Ohne genaue Angaben Deines Bekannten kann man dazu nicht viel sagen. Nur soviel, dass er sicher mindestens einen Fehler gemacht hat.

Im Link in meiner Sig wird erklärt, wie sich Malware installiert und was man dagegen tun kann.

Gruß
Yopie

Danke für die schnelle Antwort.

Leider war sie nicht sonderlich hilfreich. Ich habe einige Erfahrung mit dem Thema und kenne die "allgemeinen Probleme", Wege und Abwehrmechanismen. Es geht mir hier um Expertenwissen!

Ich könnte den Dialer per ReverseEngineering auch selbst knacken (bzw. hier mal auf meinem System "toben lassen"), um festzustellen welche Sicherheitslücke er nutzt, aber so viel Langeweile hab ich nicht - da mich das Problem nicht betrifft.

Antworten folgender Art wären hilfreich:
- Der Dialer wird auf den Webseiten X, Y und Z "vertrieben".
- Er nutzt eine Schwachstelle von WinXP SP2 beim NetBIOS-Protokoll Handling aus.
- ZoneAlarm macht nichts, weil er ihn als "gutes Programm" einstuft, da es auch "korrekte" Anwendungsformen gibt (wenn man eben diese Porno-Seiten besuchen will).
- Firefox hat eine Schwachstelle, die es einer Webseite erlaubt den Dialer einzuschleusen.

Da mir jedoch diese Dinge alle nicht bekannt sind (und ich von der korrekten Funktionsweise von ZoneAlarm und Firefox ausgehe), interessiert mich welche "Lücke" genutzt wird.

Eine Aussage wie "Der Dialer wird nur installiert, wenn man ein bestimmtes Programm herunterlädt und installiert - und zwar Programm XYZ." wäre wirklich hilfreich.

Greetings

In diesem Zusammenhang noch eine andere Frage:

Welches Tool würde sich eignen die "Systembewegungen" aufzuzeichnen, so dass ich gut nachvollziehen kann, was er getan hat?

danke & greetings

Ich kann zu solchen Problemen nur allgemein antworten, da Namen von Dialern imho zu wenig aussagekräftig sind.

- Der Dialer wird auf den Webseiten X, Y und Z "vertrieben".
Kann über alle möglichen Webseiten sein. Mit Tarts dürften hier allerdings keine Schwarzwälder Kirschtorten gemeint sein... Vielleicht gibt die FF-History was her? Ansonsten ist natürlich auch der Versand via Mail möglich.
- Er nutzt eine Schwachstelle von WinXP SP2 beim NetBIOS-Protokoll Handling aus.
Wenn das BS vollständig gepatcht ist, dann sollte man diese Möglichkeit ausschließen.
- ZoneAlarm macht nichts, weil er ihn als "gutes Programm" einstuft, da es auch "korrekte" Anwendungsformen gibt (wenn man eben diese Porno-Seiten besuchen will).Zonealarm ist m.E. ein unnützes Programm, was höchstens zu unvorsichtigen Handlungen verleitet. Vielleicht trifft das auch hier zu?
- Firefox hat eine Schwachstelle, die es einer Webseite erlaubt den Dialer einzuschleusen.
Man kann sowas nicht ausschließen, ich halte es aber für höchstgradig unwahrscheinlich.

Meine Vermutung: PEBKAC

Zitat:

Welches Tool würde sich eignen die "Systembewegungen" aufzuzeichnen, so dass ich gut nachvollziehen kann, was er getan hat?

Filemon, Regmon by Sysinternals.

Gruß
Yopie

Danke für die schnelle Antwort

Du weißt nicht zufällig wie man die History im IE und Firefox speichern kann?

Was hast du denn gegen ZoneAlarm, das leistet doch ordentliche Arbeit. Welches Programm ist denn besser (für einen Laien)?

Filemon und Regmon kenne ich, aber die zeichnen mir etwas zu viel auf ... sich da (selbst per Filter) durchzuhanglen dauert ja Ewig :-/ So richtig kann man daraus wohl auch nicht erkennen was der User wirklich getan hat.

danke & greetings

hallo!

ein kleiner erfahrungsbericht zum thema:

habe soeben versucht das laptop meiner eltern von diesem dialer zu befreien.
ursprung unbekannt - outlook wird auf dem laptop nicht verwendet, nur firefox zum browsen und maillesen. (kann sein dass mein papa ab und zu mal auch was anderes anklickt, das weiss ich nicht. aber den IE hab ich versteckt so gut es geht.)

hier was ich zur entfernung des dialers getan habe:

1. angeblich gab es ein icon auf dem desktop, dieses wurde gelöscht (nicht von mir, von meinen eltern selbst)
2. das verzeichnis C: program files/mpd wurde gelöscht, darin befand sich die hot_tarts_de.exe ('mpd' ist wohl der hersteller oder sowas)
3. registry nach diversen zeichenketten durchsucht: 'dial', 'tart', 'mpd' - mpd lieferte einige (ich glaube 2) einträge, diese wurden gelöscht. insgesamt waren diese (und sonstige gefundene) einträge aber nicht verdächtig ('Run', 'RunOnce', oder ähnliches).
4. noch ein paar einstellungen verändert: Internetoptionen: Sicherheit: Eingabeaufforderungen für die meisten ActiveX-Aktionen eingeschaltet, sonstige 'Deaktiviert'.

ich hoffe das war's, und dass meine eltern damit keine 0190er-einträge mehr auf ihrer telefonrechnung haben.
hat noch wer tipps dazu?

gruss, roman

Hallo!

Genau die gleiche Datei hatte ich auch auf dem Rechner. Habe sie bei ClamAV eingeschickt und bekam zur Antwort, dass es kein Dialer ist sondern ein Backdoor Trojaner.

Hier der Link zu meinem Thread:

http://www.trojaner-board.de/showthr...ighlight=mytob

Hab nicht soviel Zeit, deshalb nur diese kurze Antwort. Ich habe meinen Rechner plattgemacht danach.

Gruß

Emma