«Selbstlöschende» Dialer: Was steckt dahinter?

So genannte "selbstlöschende" Dialer sind eine besonders gemeine Variante der teuren Einwahlprogramme. Sie können sich unbemerkt auf dem Rechner eines Anwenders einnisten und selbständig aktiv werden. Sobald sie über Analog-Modem oder ISDN eine teure 01908er Nummer angewählt haben, entfernen sie sich automatisch von der Festplatte. Zusätzlich werden im Webbrowser Verlauf, Cookies [1] und Cache gelöscht. Dem Benutzer wird es so fast unmöglich gemacht, nachzuweisen, dass nicht er die teure Telefonnummer angerufen hat. "Selbstlöschende" Dialer sind bislang nur für deutsche 01908er Nummern nachgewiesen. Es ist aber durchaus denkbar, dass bald Versionen für Schweizer Rufnummern oder mit selbständiger Wahl der Landeskennzahl auftauchen.

Antiviren-Spezialist Network Associates (McAfee) hat die neue Dialer-Form Anfang Juli zum ersten Mal gesichtet und listet ihn in der eigenen Virendatenbank als QDial11-Trojaner auf [2]. Der Ursprung des schädlichen Programms scheint in Deutschland zu liegen. Darauf weisen auch die Rufnummern hin. Laut Network Associates versucht QDial11 nach seiner Aktivierung Anti-Dialer-Programme wie 0190Alarm, 0190Killer, 0190Warner und SmartSurfer zu beenden. Die Einwahl auf eine teure Mehrwertnummer erfolgt automatisch und unbemerkt im Hintergrund. Der Schädling nimmt keine Änderungen an Registry oder Systemdateien vor.

Weitere Infos über das neue Einwahlprogramm liefert die deutsche Website Dialerschutz.de [3]: Der "selbstlöschende" Dialer verbreitet sich hauptsächlich über Web-Bildergalerien mit erotischen Inhalten. Beim Klicken auf einen Link der Galerie wird der Anwender auf eine andere Website umgeleitet, wo der Download des Einwahlprogramms startet. Dabei greift der Dialer unter anderem auf ActiveX-Kontrollen und eine Java-Sicherheitslücke in Windows zu, um sich unbemerkt zu installieren. ActiveX ist eine von Microsoft entwickelte Programmiersprache, die es ermöglicht, Befehle auf Webseiten auszuführen. Sie funktioniert nur mit dem Internet Explorer. Damit sind Anwender des Microsoft-Browsers besonders gefährdet. Sie sollten unbedingt die Active-X- und Java-Sicherheitseinstellungen ihres Surf-Programms anpassen. Eine Anleitung dazu und weitere Schutzmöglichkeiten liefert der PCtip-Artikel "Dialer-Tricks enttarnt!" [4].

Wie bereits erwähnt, entfernt der "selbstlöschende" Dialer fast alle Hinweise auf seine Existenz, nachdem er eine teure 01908er Nummer gewählt hat. Er löscht sich selbständig von der Festplatte und leert Browser-Verlauf, -Cache und Cookie-Ordner. Wie Dialerschutz.de informiert, hinterlässt das Einwahlprogramm jedoch im Windows-Temp-Ordner eine Datei mit dem Aufbau "Zahl.tmp" (z.B. "15.tmp"). Das File ist genau 16384 Bytes gross. Wird die .tmp-Endung in .exe unbenannt, hat man wieder das funktionierende Einwahlprogramm vor sich.

Wer Opfer des "selbstlöschenden" Dialers geworden ist, sollte diese Datei zur Beweissicherung unbedingt auf Diskette speichern. Um das entsprechende File zu finden, verwenden Sie am besten die Windows-Suche. Geben Sie unter "Start/Suchen/Dateien/Ordner" in der Suchmaske den Begriff "*.tmp" ein (siehe Bild oben).